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I 


(Actos legislatives) 


REGLAMENTOS 


REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO 

de 27 de abril de 2016 

relativo a la protection de las personas fisicas en lo que respecta al tratamiento de datos personales 
y a la libre circulation de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento 

general de proteccion de datos) 

(Texto pertinente a efectos del EEE) 


EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNION EUROPEA, 

Visto el Tratado de Funcionamiento de la Union Europea, y en particular su articulo 16, 
Vista la propuesta de la Comision Europea, 

Previa transmision del proyecto de texto legislative a los Parlamentos nacionales, 

Visto el dictamen del Comite Economico y Social Europeo ('), 

Visto el dictamen del Comite de las Regiones ( 2 ), 

De conformidad con el procedimiento legislative ordinario ( 3 ), 


Considerando lo siguiente: 

(1) La proteccion de las personas fisicas en relation con el tratamiento de datos personales es un derecho 
fundamental. El articulo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Union Europea («la 
Carta») y el articulo 16, apartado 1, del Tratado de Funcionamiento de la Union Europea (TFUE) establecen que 
toda persona tiene derecho a la proteccion de los datos de caracter personal que le conciernan. 

(2) Los principios y normas relativos a la proteccion de las personas fisicas en lo que respecta al tratamiento de sus 
datos de caracter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y 
derechos fundamentales, en particular el derecho a la proteccion de los datos de caracter personal. El presente 
Reglamento pretende contribuir a la plena realization de un espacio de libertad, seguridad y justicia y de una 
union economica, al progreso economico y social, al refuerzo y la convergencia de las economias dentro del 
mercado interior, asi como al bienestar de las personas fisicas. 

(3) La Directiva 95/46/CE del Parlamento Europeo y del Consejo ( 4 ) trata de armonizar la proteccion de los derechos 
y las libertades fundamentales de las personas fisicas en relation con las actividades de tratamiento de datos de 
caracter personal y garantizar la libre circulacion de estos datos entre los Estados miembros. 


C) DOC229de31.7.2012,p. 90. 

f) DOC 391 de 18.12.2012,p. 127. 

( 5 ) Position del Parlamento Europeo de 12 de marzo de 2014 (pendiente de publicacion en el Diario Oficial) y posicion del Consejo en 
primera lectura de 8 de abril de 2016 (pendiente de publicacion en el Diario Oficial). Posicion del Parlamento Europeo de 14 de abril 
de 2016. 

( 4 ) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccion de las personas fisicas en lo 
que respecta al tratamiento de datos personales y a la libre circulacion de estos datos (DO L281 de 23.11.1995, p. 31). 
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(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protection de 
los datos personales no es un derecho absoluto sino que debe considerarse en relation con su funcion en la 
sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. 
El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios 
reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y 
familiar, del domicilio y de las comunicaciones, la protection de los datos de caracter personal, la libertad de 
pensamiento, de conciencia y de religion, la libertad de expresion y de information, la libertad de empresa, el 
derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingufstica. 

(5) La integration economica y social resultante del funcionamiento del mercado interior ha llevado a un aumento 
sustancial de los flujos transfronterizos de datos personales. En toda la Union se ha incrementado el intercambio 
de datos personales entre los operadores publicos y privados, incluidas las personas fisicas, las asociaciones y las 
empresas. El Derecho de la Union insta a las autoridades nacionales de los Estados miembros a que cooperen e 
intercambien datos personales a fin de poder cumplir sus funciones o desempenar otras por cuenta de una 
autoridad de otro Estado miembro. 

(6) La rapida evolution tecnologica y la globalization han planteado nuevos retos para la protection de los datos 
personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera signifi- 
cativa. La tecnologfa permite que tanto las empresas privadas como las autoridades publicas utilicen datos 
personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas fisicas difunden un 
volumen cada vez mayor de information personal a escala mundial. La tecnologfa ha transformado tanto la 
economfa como la vida social, y ha de facilitar aun mas la libre circulation de datos personales dentro de la 
Union y la transferencia a terceros paises y organizaciones internacionales, garantizando al mismo tiempo un 
elevado nivel de protection de los datos personales. 

(7) Estos avances requieren un marco mas solido y coherente para la protection de datos en la Union Europea, 
respaldado por una execution estricta, dada la importancia de generar la confianza que permita a la economia 
digital desarrollarse en todo el mercado interior. Las personas fisicas deben tener el control de sus propios datos 
personales. Elay que reforzar la seguridad juridica y practica para las personas fisicas, los operadores economicos 
y las autoridades publicas. 

(8) En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el 
Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que 
las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional 
elementos del presente Reglamento. 

(9) Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo validos, ello no ha impedido que la 
protection de los datos en el territorio de la Union se aplique de manera fragmentada, ni la inseguridad juridica 
ni una perception generalizada entre la opinion publica de que existen riesgos importantes para la protection de 
las personas fisicas, en particular en relation con las actividades en linea. Las diferencias en el nivel de protection 
de los derechos y libertades de las personas fisicas, en particular del derecho a la protection de los datos de 
caracter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la 
libre circulation de los datos de caracter personal en la Union. Estas diferencias pueden constituir, por lo tanto, 
un obstaculo al ejercicio de las actividades economicas a nivel de la Union, falsear la competencia e impedir que 
las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Union. Esta diferencia en los 
niveles de protection se debe a la existencia de divergencias en la execution y aplicacion de la Directiva 95/46/CE. 

(10) Para garantizar un nivel uniforme y elevado de protection de las personas fisicas y eliminar los obstaculos a la 
circulation de datos personales dentro de la Union, el nivel de protection de los derechos y libertades de las 
personas fisicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados 
miembros. Debe garantizarse en toda la Union que la aplicacion de las normas de protection de los derechos y 
libertades fundamentales de las personas fisicas en relation con el tratamiento de datos de caracter personal sea 
coherente y homogenea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una 
obligation legal, para el cumplimiento de una mision realizada en interes publico o en el ejercicio de poderes 
publicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o 
adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicacion de las normas del presente 
Reglamento. Junto con la normativa general y horizontal sobre protection de datos por la que se aplica la 
Directiva 95/46/CE, los Estados miembros cuentan con distintas normas sectoriales especificas en ambitos que 
precisan disposiciones mas especificas. El presente Reglamento reconoce tambien un margen de maniobra para 
que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorias especiales de datos 
personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados 
miembros que determina las circunstancias relativas a situaciones especificas de tratamiento, incluida la 
indication pormenorizada de las condiciones en las que el tratamiento de datos personales es licito. 
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(11) La protection efectiva de los datos personales en la Union exige que se refuercen y especifiquen los derechos de 
los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de caracter personal, 
y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento 
de las normas relativas a la protection de los datos de caracter personal y las infracciones se castiguen con 
sanciones equivalentes. 

(12) El articulo 16, apartado 2, del TFUE encomienda al Parlamento Europeo y al Consejo que establezcan las normas 
sobre protection de las personas fisicas respecto del tratamiento de datos de caracter personal y las normas 
relativas a la libre circulation de dichos datos. 


(13) Para garantizar un nivel coherente de protection de las personas fisicas en toda la Union y evitar divergences que 
dificulten la libre circulation de datos personales dentro del mercado interior, es necesario un reglamento que 
proporcione seguridad juridica y transparencia a los operadores economicos, incluidas las microempresas y las 
pequenas y medianas empresas, y ofrezca a las personas fisicas de todos los Estados miembros el mismo nivel de 
derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con 
el fin de garantizar una supervision coherente del tratamiento de datos personales y sanciones equivalentes en 
todos los Estados miembros, asi como la cooperation efectiva entre las autoridades de control de los diferentes 
Estados miembros. El buen funcionamiento del mercado interior exige que la libre circulation de los datos 
personales en la Union no sea restringida ni prohibida por motivos relacionados con la protection de las 
personas fisicas en lo que respecta al tratamiento de datos personales. Con objeto de tener en cuenta la situation 
especifica de las microempresas y las pequenas y medianas empresas, el presente Reglamento incluye una serie de 
excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados. Ademas, 
alienta a las instituciones y organos de la Union y a los Estados miembros y a sus autoridades de control a tener 
en cuenta las necesidades especificas de las microempresas y las pequenas y medianas empresas en la aplicacion 
del presente Reglamento. El concepto de microempresas y pequenas y medianas empresas debe extraerse del 
articulo 2 del anexo de la Recomendacion 2003/361 /CE de la Comision ('). 

(14) La protection otorgada por el presente Reglamento debe aplicarse a las personas fisicas, independientemente de 
su nacionalidad o de su lugar de residencia, en relation con el tratamiento de sus datos personales. El presente 
Reglamento no regula el tratamiento de datos personales relativos a personas juridicas y en particular a empresas 
constituidas como personas juridicas, incluido el nombre y la forma de la persona juridica y sus datos de 
contacto. 


(15) A fin de evitar que haya un grave riesgo de elusion, la protection de las personas fisicas debe ser tecnologi- 
camente neutra y no debe depender de las tecnicas utilizadas. La protection de las personas fisicas debe aplicarse 
al tratamiento automatizado de datos personales, asi como a su tratamiento manual, cuando los datos personales 
figuren en un fichero o esten destinados a ser incluidos en el. Los ficheros o conjuntos de ficheros, asi como sus 
portadas, que no esten estructurados con arreglo a criterios especificos, no deben entrar en el ambito de 
aplicacion del presente Reglamento. 

(16) El presente Reglamento no se aplica a cuestiones de protection de los derechos y las libertades fundamentales o 
la libre circulation de datos personales relacionadas con actividades excluidas del ambito de del Derecho de la 
Union, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de 
caracter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la politica exterior 
y de seguridad comun de la Union. 

(17) El Reglamento (CE) n.° 45/2001 del Parlamento Europeo y del Consejo ( 2 ) se aplica al tratamiento de datos de 
caracter personal por las instituciones, organos y organismos de la Union. El Reglamento (CE) n.° 45/2001 y 
otros actos juridicos de la Union aplicables a dicho tratamiento de datos de caracter personal deben adaptarse a 
los principios y normas establecidos en el presente Reglamento y aplicarse a la luz del mismo. A fin de establecer 
un marco solido y coherente en materia de protection de datos en la Union, una vez adoptado el presente 
Reglamento deben introducirse las adaptaciones necesarias del Reglamento (CE) n.° 45/2001, con el fin de que 
pueda aplicarse al mismo tiempo que el presente Reglamento. 

(18) El presente Reglamento no se aplica al tratamiento de datos de caracter personal por una persona fisica en el 
curso de una actividad exclusivamente personal o domestica y, por tanto, sin conexion alguna con una actividad 


(') Recomendacion de la Comision de 6 de mayo de 2003 sobre la definition de microempresas, pequenas y medianas empresas 
[C(2003) 1422] (DO L 124 de 20.5.2003, p. 36). 

( 2 ) Reglamento (CE) n.° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protection de las personas 
fisicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulation de 
estos datos (DO L 8 de 12.1.2001, p. 1). 
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profesional o comercial. Entre las actividades personales o domesticas cabe incluir la correspondencia y la 
llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en linea realizada en el 
contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados 
del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades 
personales o domesticas. 


(19) La protection de las personas ffsicas en lo que respecta al tratamiento de datos de caracter personal por parte de 
las autoridades competentes a efectos de la prevention, investigation, detection o enjuiciamiento de infracciones 
penales o de la execution de sanciones penales, incluida la proteccion frente a las amenazas contra la seguridad 
publica y la libre circulation de estos datos y su prevention, es objeto de un acto jurfdico espedfico a nivel de la 
Union. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales 
fines. No obstante, los datos personales tratados por las autoridades ptiblicas en aplicacion del presente 
Reglamento deben, si se destinan a tales fines, regirse por un acto jurfdico de la Union mas especffico, concre- 
tamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo ('). Los Estados miembros pueden 
encomendar a las autoridades competentes, tal como se definen en la Directiva (UE) 2016/680, funciones que no 
se lleven a cabo necesariamente con fines de prevention, investigation, detection o enjuiciamiento de 
infracciones penales o ejecucion de sanciones penales, incluida la proteccion frente a las amenazas a la seguridad 
publica y su prevention, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida 
en que este incluido en el ambito del Derecho de la Union, entra en el ambito de aplicacion del presente 
Reglamento. 

En lo que respecta al tratamiento de datos personales por parte de dichas autoridades competentes con fines que 
entren en el ambito de aplicacion del presente Reglamento, los Estados miembros deben tener la posibilidad de 
mantener o introducir disposiciones mas especfficas para adaptar la aplicacion de las normas del presente 
Reglamento. Tales disposiciones pueden establecer de forma mas precisa requisitos concretos para el tratamiento 
de datos personales con otros fines por parte de dichas autoridades competentes, tomando en consideration la 
estructura constitucional, organizativa y administrativa del Estado miembro en cuestion. Cuando el tratamiento 
de datos personales por organismos privados entre en el ambito de aplicacion del presente Reglamento, este debe 
disponer que los Estados miembros puedan, en condiciones especfficas, limitar conforme a Derecho determinadas 
obligaciones y derechos siempre que dicha limitation sea una medida necesaria y proporcionada en una sociedad 
democratica para proteger intereses especfficos importantes, entre ellos la seguridad publica y la prevention, la 
investigation, la detection y el enjuiciamiento de infracciones penales o la ejecucion de sanciones penales, 
inclusive la proteccion frente a las amenazas contra la seguridad publica y su prevention. Esto se aplica, por 
ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratories de poliefa 
cientffica. 

(20) Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades 
judiciales, en virtud del Derecho de la Union o de los Estados miembros pueden especificarse las operaciones de 
tratamiento y los procedimientos de tratamiento en relation con el tratamiento de datos personales por los 
tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeno 
de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el 
tratamiento de datos personales cuando los tribunales actuen en ejercicio de su funcion judicial. El control de 
esas operaciones de tratamiento de datos ha de poder encomendarse a organismos especfficos establecidos dentro 
del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas 
del presente Reglamento, concienciar mas a los miembros del poder judicial acerca de sus obligaciones en virtud 
de este y atender las reclamaciones en relation con tales operaciones de tratamiento de datos. 

(21) El presente Reglamento debe entenderse sin perjuicio de la aplicacion de la Directiva 2000/31 /CE del Parlamento 
Europeo y del Consejo ( 2 ), en particular de las normas en materia de responsabilidad de los prestadores de 
servicios intermediarios establecidas en sus artfculos 12 a 15. El objetivo de dicha Directiva es contribuir al 
correcto funcionamiento del mercado interior garantizando la libre circulation de los servicios de la sociedad de 
la information entre los Estados miembros. 

(22) Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o 
un encargado del tratamiento en la Union debe llevarse a cabo de conformidad con el presente Reglamento, 
independientemente de que el tratamiento tenga lugar en la Union. Un establecimiento implica el ejercicio de 
manera efectiva y real de una actividad a traves de modalidades estables. La forma jurfdica que revistan tales 
modalidades, ya sea una sucursal o una filial con personalidad jurfdica, no es el factor determinante al respecto. 


(') Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la proteccion de las personas fisicas en 
lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevention, investigation, 
detection o enjuiciamiento de infracciones penales o de ejecucion de sanciones penales, y a la libre circulation de dichos datos y por la 
quese deroga la Decision Marco 2008/9 7 7/JAI del Consejo (vease la pagina 89 del presente Diario Oficial). 

( 2 ) Directiva 2000/31 /CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos juridicos de los 
servicios de la sociedad de la information, en particular el comercio electronico en el mercado interior (Directiva sobre el comercio 
electronico) (DO L 178 de 17.7.2000, p. 1). 
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(23) Con el fin de garantizar que las personas fisicas no se vean privadas de la proteccion a la que tienen derecho en 
virtud del presente Reglamento, el tratamiento de datos personales de interesados que residen en la Union por un 
responsable o un encargado no establecido en la Union debe regirse por el presente Reglamento si las actividades 
de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie 
pago. Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la 
Union, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados 
en uno o varios de los Estados miembros de la Union. Si bien la mera accesibilidad del sitio web del responsable 
o encargado o de un intermediario en la Union, de una direction de correo electronico u otros datos de contacto, 
o el uso de una lengua generalmente utilizada en el tercer pais donde resida el responsable del tratamiento, no 
basta para determinar dicha intention, hay factores, como el uso de una lengua o una moneda utilizada 
generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra 
lengua, o la mention de clientes o usuarios que residen en la Union, que pueden revelar que el responsable del 
tratamiento proyecta ofrecer bienes o servicios a interesados en la Union. 


(24) El tratamiento de datos personales de los interesados que residen en la Union por un responsable o encargado no 
establecido en la Union debe ser tambien objeto del presente Reglamento cuando este relacionado con la 
observation del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en 
la Union. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de 
los interesados, debe evaluarse si las personas fisicas son objeto de un seguimiento en internet, inclusive el 
potencial uso posterior de tecnicas de tratamiento de datos personales que consistan en la elaboration de un 
perfil de una persona fisica con el fin, en particular, de adoptar decisiones sobre el o de analizar o predecir sus 
preferencias personales, comportamientos y actitudes. 


(25) Cuando sea de aplicacion el Derecho de los Estados miembros en virtud del Derecho internacional publico, el 
presente Reglamento debe aplicarse tambien a todo responsable del tratamiento no establecido en la Union, 
como en una mision diplomatica u oficina consular de un Estado miembro. 


(26) Los principios de la proteccion de datos deben aplicarse a toda la information relativa a una persona fisica 
identificada o identificable. Los datos personales seudonimizados, que cabria atribuir a una persona fisica 
mediante la utilization de information adicional, deben considerarse information sobre una persona fisica identi¬ 
ficable. Para determinar si una persona fisica es identificable, deben tenerse en cuenta todos los medios, como la 
singularizacion, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para 
identificar directa o indirectamente a la persona fisica. Para determinar si existe una probabilidad razonable de 
que se utilicen medios para identificar a una persona fisica, deben tenerse en cuenta todos los factores objetivos, 
como los costes y el tiempo necesarios para la identification, teniendo en cuenta tanto la tecnologia disponible 
en el momento del tratamiento como los avances tecnologicos. Por lo tanto los principios de proteccion de datos 
no deben aplicarse a la information anonima, es decir information que no guarda relation con una persona fisica 
identificada o identificable, ni a los datos convertidos en anonimos de forma que el interesado no sea identi¬ 
ficable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha information 
anonima, inclusive con fines estadisticos o de investigation. 


(27) El presente Reglamento no se aplica a la proteccion de datos personales de personas fallecidas. Los Estados 
miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas. 


(28) La aplicacion de la seudonimizacion a los datos personales puede reducir los riesgos para los interesados 
afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de proteccion 
de los datos. Asi pues, la introduction explicita de la «seudonimizaci6n» en el presente Reglamento no pretende 
excluir ninguna otra medida relativa a la proteccion de los datos. 


(29) Para incentivar la aplicacion de la seudonimizacion en el tratamiento de datos personales, debe ser posible 
establecer medidas de seudonimizacion, permitiendo al mismo tiempo un analisis general, por parte del mismo 
responsable del tratamiento, cuando este haya adoptado las medidas tecnicas y organizativas necesarias para 
garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado 
la information adicional para la atribucion de los datos personales a una persona concreta. El responsable que 
trate datos personales debe indicar cuales son sus personas autorizadas. 
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(30) Las personas fisicas pueden ser asociadas a identificadores en li'nea facilitados por sus dispositivos, aplicaciones, 
herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesion en forma de 
«cookies» u otros identificadores, como etiquetas de identification por radiofrecuencia. Esto puede dejar huellas 
que, en particular, al ser combinadas con identificadores linicos y otros datos recibidos por los servidores, pueden 
ser utilizadas para elaborar perfiles de las personas fisicas e identificarlas. 


(31) Las autoridades publicas a las que se comunican datos personales en virtud de una obligation legal para el 
ejercicio de su mision oficial, como las autoridades fiscales y aduaneras, las unidades de investigation financiera, 
las autoridades administrativas independientes o los organismos de supervision de los mercados financieros 
encargados de la reglamentacion y supervision de los mercados de valores, no deben considerarse destinatarios de 
datos si reciben datos personales que son necesarios para llevar a cabo una investigation concreta de interes 
general, de conformidad con el Derecho de la Union o de los Estados miembros. Las solicitudes de comunicacion 
de las autoridades publicas siempre deben presentarse por escrito, de forma motivada y con caracter ocasional, y 
no deben referirse a la totalidad de un fichero ni dar lugar a la interconexion de varios ficheros. El tratamiento de 
datos personales por dichas autoridades publicas debe ser conforme con la normativa en materia de protection 
de datos que sea de aplicacion en funcion de la finalidad del tratamiento. 


(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestation de voluntad libre, 
especifica, informada, e inequivoca del interesado de aceptar el tratamiento de datos de caracter personal que le 
conciernen, como una declaration por escrito, inclusive por medios electronicos, o una declaration verbal. Esto 
podria incluir marcar una casilla de un sitio web en internet, escoger parametros tecnicos para la utilization de 
servicios de la sociedad de la information, o cualquier otra declaration o conducta que indique claramente en 
este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, 
las casillas ya marcadas o la inaction no deben constituir consentimiento. El consentimiento debe darse para 
todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga 
varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raiz 
de una solicitud por medios electronicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el 
uso del servicio para el que se presta. 


(3 3) Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines 
de investigation cientifica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar 
su consentimiento para determinados ambitos de investigation cientifica que respeten las normas eticas 
reconocidas para la investigation cientifica. Los interesados deben tener la oportunidad de dar su consentimiento 
solamente para determinadas areas de investigation o partes de proyectos de investigation, en la medida en que 
lo permita la finalidad perseguida. 


(34) Debe entenderse por datos geneticos los datos personales relacionados con caracteristicas geneticas, heredadas o 
adquiridas, de una persona fisica, provenientes del analisis de una muestra biologica de la persona fisica en 
cuestion, en particular a traves de un analisis cromosomico, un analisis del acido desoxirribonucleico (ADN) o del 
acido ribonucleico (ARN), o del analisis de cualquier otro elemento que permita obtener information equivalente. 


(35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del 
interesado que dan information sobre su estado de salud fisica o mental pasado, presente o futuro. Se incluye la 
information sobre la persona fisica recogida con ocasion de su inscription a efectos de asistencia sanitaria, o con 
ocasion de la prestacion de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y 
del Consejo ('); todo numero, simbolo o dato asignado a una persona fisica que la identifique de manera univoca 
a efectos sanitarios; la information obtenida de pruebas o examenes de una parte del cuerpo o de una sustancia 
corporal, incluida la procedente de datos geneticos y muestras biologicas, y cualquier information relativa, a 
titulo de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial medico, el 
tratamiento clinico o el estado fisiologico o biomedico del interesado, independientemente de su fuente, por 
ejemplo un medico u otro profesional sanitario, un hospital, un dispositivo medico, o una prueba diagnostica in 
vitro. 


(36) El establecimiento principal de un responsable del tratamiento en la Union debe ser el lugar de su administration 
central en la Union, salvo que las decisiones relativas a los fines y medios del tratamiento de los datos personales 
se tomen en otro establecimiento del responsable en la Union, en cuyo caso, ese otro establecimiento debe 


(') Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicacion de los derechos de los 
pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45). 
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considerarse el establecimiento principal. El establecimiento principal de un responsable en la Union debe 
determinarse en funcion de criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestion 
que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a traves de modalidades 
estables. Dicho criterio no debe depender de si el tratamiento de los datos personales se realiza en dicho lugar. La 
presencia y utilization de medios tecnicos y tecnologias para el tratamiento de datos personales o las actividades 
de tratamiento no constituyen, en si mismas, establecimiento principal y no son, por lo tanto, criterios determi- 
nantes de un establecimiento principal. El establecimiento principal del encargado del tratamiento debe ser el 
lugar de su administration central en la Union o, si careciese de administration central en la Union, el lugar en el 
que se llevan a cabo las principales actividades de tratamiento en la Union. En los casos que impliquen tanto al 
responsable como al encargado, la autoridad de control principal competente debe seguir siendo la autoridad de 
control del Estado miembro en el que el responsable tenga su establecimiento principal, pero la autoridad de 
control del encargado debe considerarse autoridad de control interesada y participar en el procedimiento de 
cooperation establecido en el presente Reglamento. En cualquier caso, las autoridades de control del Estado 
miembro o los Estados miembros en los que el encargado tenga uno o varios establecimientos no deben 
considerarse autoridades de control interesadas cuando el proyecto de decision afecte unicamente al responsable. 
Cuando el tratamiento lo realice un grupo empresarial, el establecimiento principal de la empresa que ejerce el 
control debe considerarse el establecimiento principal del grupo empresarial, excepto cuando los fines y medios 
del tratamiento los determine otra empresa. 


(37) Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las empresas controladas, 
debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia dominante en las otras 
empresas, por razones, por ejemplo, de propiedad, participation financiera, normas por las que se rige, o poder 
de hacer cumplir las normas de protection de datos personales. Una empresa que controle el tratamiento de los 
datos personales en las empresas que esten afiliadas debe considerarse, junto con dichas empresas, «grupo 
empresarial*. 


(38) Los ninos merecen una protection especffica de sus datos personales, ya que pueden ser menos conscientes de 
los riesgos, consecuencias, garantias y derechos concernientes al tratamiento de datos personales. Dicha 
protection especffica debe aplicarse en particular, a la utilization de datos personales de ninos con fines de 
mercadotecnia o elaboration de perfiles de personalidad o de usuario, y a la obtencion de datos personales 
relativos a ninos cuando se utilicen servicios ofrecidos directamente a un nino. El consentimiento del titular de la 
patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento 
ofrecidos directamente a los ninos. 


(39) Todo tratamiento de datos personales debe ser licito y leal. Para las personas ffsicas debe quedar totalmente claro 
que se estan recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, 
asi como la medida en que dichos datos son o seran tratados. El principio de transparencia exige que toda 
information y comunicacion relativa al tratamiento de dichos datos sea facilmente accesible y facil de entender, y 
que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la information de los 
interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la information anadida 
para garantizar un tratamiento leal y transparente con respecto a las personas ffsicas afectadas y a su derecho a 
obtener confirmation y comunicacion de los datos personales que les conciernan que sean objeto de tratamiento. 
Las personas ffsicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos 
relativos al tratamiento de datos personales asf como del modo de hacer valer sus derechos en relation con el 
tratamiento. En particular, los fines especfficos del tratamiento de los datos personales deben ser explfcitos y 
legftimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, 
pertinentes y limitados a lo necesario para los fines para los que sean tratados. Elio requiere, en particular, 
garantizar que se limite a un mfnimo estricto su plazo de conservation. Los datos personales solo deben tratarse 
si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos 
personales no se conservan mas tiempo del necesario, el responsable del tratamiento ha de establecer plazos para 
su supresion o revision periodica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen 
o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que 
garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o 
uso no autorizados de dichos datos y del equipo utilizado en el tratamiento. 


(40) Para que el tratamiento sea lfcito, los datos personales deben ser tratados con el consentimiento del interesado o 
sobre alguna otra base legftima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de 
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otro Derecho de la Union o de los Estados miembros a que se refiera el presente Reglamento, incluida la 
necesidad de cumplir la obligacion legal aplicable al responsable del tratamiento o la necesidad de ejecutar un 
contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con 
anterioridad a la conclusion de un contrato. 


(41) Cuando el presente Reglamento hace referencia a una base juridica o a una medida legislativa, esto no exige 
necesariamente un acto legislative adoptado por un parlamento, sin perjuicio de los requisitos de conformidad 
del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base juridica o medida 
legislativa debe ser clara y precisa y su aplicacion previsible para sus destinatarios, de conformidad con la 
jurisprudencia del Tribunal de Justicia de la Union Europea (en lo sucesivo, «Tribunal de Justicia») y del Tribunal 
Europeo de Derechos Humanos. 


(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe 
ser capaz de demostrar que aquel ha dado su consentimiento a la operation de tratamiento. En particular en el 
contexto de una declaration por escrito efectuada sobre otro asunto, debe haber garantias de que el interesado es 
consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la 
Directiva 93/13/CEE del Consejo (’), debe proporcionarse un modelo de declaration de consentimiento elaborado 
previamente por el responsable del tratamiento con una formulation inteligible y de facil acceso que emplee un 
lenguaje claro y sencillo, y que no contenga clausulas abusivas. Para que el consentimiento sea informado, el 
interesado debe conocer como mi'nimo la identidad del responsable del tratamiento y los fines del tratamiento a 
los cuales estan destinados los datos personales. El consentimiento no debe considerarse libremente prestado 
cuando el interesado no goza de verdadera o libre election o no puede denegar o retirar su consentimiento sin 
sufrir perjuicio alguno. 


(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurfdico 
valido para el tratamiento de datos de caracter personal en un caso concreto en el que exista un desequilibro 
claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una 
autoridad publica y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las 
circunstancias de dicha situation particular. Se presume que el consentimiento no se ha dado libremente cuando 
no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser 
adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestacion de un servicio, 
sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento. 


(44) El tratamiento debe ser licito cuando sea necesario en el contexto de un contrato o de la intention de concluir un 
contrato. 


(45) Cuando se realice en cumplimiento de una obligacion legal aplicable al responsable del tratamiento, o si es 
necesario para el cumplimiento de una mision realizada en interes publico o en el ejercicio de poderes publicos, 
el tratamiento debe tener una base en el Derecho de la Union o de los Estados miembros. El presente Reglamento 
no requiere que cada tratamiento individual se rija por una norma especffica. Una norma puede ser suficiente 
como base para varias operaciones de tratamiento de datos basadas en una obligacion legal aplicable al 
responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una mision realizada en 
interes publico o en el ejercicio de poderes publicos. La finalidad del tratamiento tambien debe determinase en 
virtud del Derecho de la Union o de los Estados miembros. Ademas, dicha norma podrfa especificar las 
condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, 
establecer especificaciones para la determination del responsable del tratamiento, el tipo de datos personales 
objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, 
las limitaciones de la finalidad, el plazo de conservation de los datos y otras medidas para garantizar un 
tratamiento licito y leal. Debe determinarse tambien en virtud del Derecho de la Union o de los Estados 
miembros si el responsable del tratamiento que realiza una mision en interes publico o en el ejercicio de poderes 
publicos debe ser una autoridad publica u otra persona fisica o juridica de Derecho publico, o, cuando se haga en 
interes publico, incluidos fines sanitarios como la salud publica, la protection social y la gestion de los servicios 
de sanidad, de Derecho privado, como una asociacion profesional. 


(46) El tratamiento de datos personales tambien debe considerarse licito cuando sea necesario para proteger un interes 
esencial para la vida del interesado o la de otra persona fisica. En principio, los datos personales unicamente 


(') Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las clausulas abusivas en los contratos celebrados con consumidores 
(DO L 95 de 21.4.1993, p. 29). 
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deben tratarse sobre la base del interes vital de otra persona fisica cuando el tratamiento no pueda basarse 
manifiestamente en una base jurfdica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos 
importantes de interes publico como a los intereses vitales del interesado, como por ejemplo cuando el 
tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagation, o en 
situaciones de emergencia humanitaria, sobre todo en caso de catastrofes naturales o de origen humano. 


(47) El interes legitimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar 
datos personales, o de un tercero, puede constituir una base juridica para el tratamiento, siempre que no 
prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables 
de los interesados basadas en su relation con el responsable. Tal interes legitimo podria darse, por ejemplo, 
cuando existe una relation pertinente y apropiada entre el interesado y el responsable, como en situaciones en las 
que el interesado es cliente o esta al servicio del responsable. En cualquier caso, la existencia de un interes 
legitimo requeriria una evaluation meticulosa, inclusive si un interesado puede prever de forma razonable, en el 
momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En 
particular, los intereses y los derechos fundamentales del interesado podrian prevalecer sobre los intereses del 
responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que 
el interesado no espere razonablemente que se realice un tratamiento ulterior. Dado que corresponde al legislador 
establecer por ley la base juridica para el tratamiento de datos personales por parte de las autoridades publicas, 
esta base juridica no debe aplicarse al tratamiento efectuado por las autoridades publicas en el ejercicio de sus 
funciones. El tratamiento de datos de caracter personal estrictamente necesario para la prevention del fraude 
constituye tambien un interes legitimo del responsable del tratamiento de que se trate. El tratamiento de datos 
personales con fines de mercadotecnia directa puede considerarse realizado por interes legitimo. 


(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central 
pueden tener un interes legitimo en transmitir datos personales dentro del grupo empresarial para fines adminis- 
trativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales 
aplicables a la transmision de datos personales, dentro de un grupo empresarial, a una empresa situada en un 
pais tercero no se ven afectados. 


(49) Constituye un interes legitimo del responsable del tratamiento interesado el tratamiento de datos personales en la 
medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la information, es 
decir la capacidad de una red o de un sistema information de resistir, en un nivel determinado de confianza, a 
acontecimientos accidentales o acciones ilicitas o malintencionadas que comprometan la disponibilidad, 
autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de 
los servicios conexos ofrecidos por, o accesibles a traves de, estos sistemas y redes, por parte de autoridades 
publicas, equipos de respuesta a emergencias informaticas (CERT), equipos de respuesta a incidentes de seguridad 
informatica (CSIRT), proveedores de redes y servicios de comunicaciones electronicas y proveedores de 
tecnologias y servicios de seguridad. En lo anterior cabria incluir, por ejemplo, impedir el acceso no autorizado a 
las redes de comunicaciones electronicas y la distribution malintencionada de codigos, y frenar ataques de 
«denegacion de servicio* y danos a los sistemas informaticos y de comunicaciones electronicas. 


(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente 
solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una 
base juridica aparte, distinta de la que permitio la obtencion de los datos personales. Si el tratamiento es 
necesario para el cumplimiento de una mision realizada en interes publico o en el ejercicio de poderes publicos 
conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible 
y li'cito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Union o de los 
Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en interes publico, fines de 
investigation cientifica e historica o fines estadisticos deben considerarse operaciones de tratamiento licitas 
compatibles. La base juridica establecida en el Derecho de la Union o de los Estados miembros para el 
tratamiento de datos personales tambien puede servir de base juridica para el tratamiento ulterior. Con objeto de 
determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, 
el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, 
debe tener en cuenta, entre otras cosas, cualquier relation entre estos fines y los fines del tratamiento ulterior 
previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado 
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basadas en su relation con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las 
consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantias adecuadas tanto en 
la operation de tratamiento original como en la operation de tratamiento ulterior prevista. 


Si el interesado dio su consentimiento o el tratamiento se basa en el Derecho de la Union o de los Estados 
miembros que constituye una medida necesaria y proporcionada en una sociedad democratica para salvaguardar, 
en particular, objetivos importantes de interes publico general, el responsable debe estar facultado para el 
tratamiento ulterior de los datos personales, con independencia de la compatibilidad de los fines. En todo caso, se 
debe garantizar la aplicacion de los principios establecidos por el presente Reglamento y, en particular, la 
information del interesado sobre esos otros fines y sobre sus derechos, incluido el derecho de oposicion. La 
indication de posibles actos delictivos o amenazas para la seguridad publica por parte del responsable del 
tratamiento y la transmision a la autoridad competente de los datos respecto de casos individuales o casos 
diversos relacionados con un mismo acto delictivo o amenaza para la seguridad publica debe considerarse que es 
en interes legitimo del responsable. Con todo, debe prohibirse esa transmision en interes legitimo del responsable 
o el tratamiento ulterior de datos personales si el tratamiento no es compatible con una obligation de secreto 
legal, profesional o vinculante por otro concepto. 


(51) Especial protection merecen los datos personales que, por su naturaleza, son particularmente sensibles en 
relation con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podrfa entranar 
importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales 
los datos de caracter personal que revelen el origen racial o etnico, entendiendose que el uso del termino «origen 
racial# en el presente Reglamento no implica la aceptacion por parte de la Union de teorfas que traten de 
determinar la existencia de razas humanas separadas. El tratamiento de fotografias no debe considerarse sistemati- 
camente tratamiento de categories especiales de datos personales, pues unicamente se encuentran comprendidas 
en la definition de datos biometricos cuando el hecho de ser tratadas con medios tecnicos especificos permita la 
identification o la autenticacion um'vocas de una persona fisica. Tales datos personales no deben ser tratados, a 
menos que se permita su tratamiento en situaciones especificas contempladas en el presente Reglamento, habida 
cuenta de que los Estados miembros pueden establecer disposiciones especificas sobre protection de datos con 
objeto de adaptar la aplicacion de las normas del presente Reglamento al cumplimiento de una obligation legal o 
al cumplimiento de una mision realizada en interes publico o en el ejercicio de poderes publicos conferidos al 
responsable del tratamiento. Ademas de los requisites especificos de ese tratamiento, deben aplicarse los 
principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de 
licitud del tratamiento. Se deben establecer de forma explicita excepciones a la prohibition general de tratamiento 
de esas categorias especiales de datos personales, entre otras cosas cuando el interesado de su consentimiento 
explicito o tratandose de necesidades especificas, en particular cuando el tratamiento sea realizado en el marco de 
actividades legitimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las 
libertades fundamentales. 


(52) Asimismo deben autorizarse excepciones a la prohibition de tratar categorias especiales de datos personales 
cuando lo establezca el Derecho de la Union o de los Estados miembros y siempre que se den las garantias 
apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interes publico, en 
particular el tratamiento de datos personales en el ambito de la legislation laboral, la legislation sobre protection 
social, incluidas las pensiones y con fines de seguridad, supervision y alerta sanitaria, la prevention o control de 
enfermedades transmisibles y otras amenazas graves para la salud. Tal exception es posible para fines en el 
ambito de la salud, incluidas la sanidad publica y la gestion de los servicios de asistencia sanitaria, especialmente 
con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclama- 
ciones de prestaciones y de servicios en el regimen del seguro de enfermedad, o con fines de archivo en interes 
publico, fines de investigation cientifica e historica o fines estadisticos. Debe autorizarse asimismo a ti'tulo 
excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulation, el ejercicio o la 
defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrative o extrajudicial. 


(53) Las categorias especiales de datos personales que merecen mayor protection unicamente deben tratarse con fines 
relacionados con la salud cuando sea necesario para lograr dichos fines en beneficio de las personas fisicas y de la 
sociedad en su conjunto, en particular en el contexto de la gestion de los servicios y sistemas sanitarios o de 
protection social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las 
autoridades sanitarias nacionales centrales con fines de control de calidad, gestion de la information y 
supervision general nacional y local del sistema sanitario o de protection social, y garantfa de la continuidad de la 
asistencia sanitaria o la protection social y la asistencia sanitaria transfronteriza o fines de seguridad, supervision 
y alerta sanitaria, o con fines de archivo en interes publico, fines de investigation cientifica o historica o fines 
estadisticos, basados en el Derecho de la Union o del Estado miembro que ha de cumplir un objetivo de interes 
publico, asi como para estudios realizados en interes publico en el ambito de la salud publica. Por tanto, el 
presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorias especiales de 
datos personales relativos a la salud, en relation con necesidades especificas, en particular si el tratamiento de 
esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligation legal de secreto 
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profesional. El Derecho de la Union o de los Estados miembros debe establecer medidas especificas y adecuadas 
para proteger los derechos fundamentales y los datos personales de las personas fisicas. Los Estados miembros 
deben estar facultados para mantener o introducir otras condiciones, incluidas limitaciones, con respecto al 
tratamiento de datos geneticos, datos biometricos o datos relativos a la salud. No obstante, esto no ha de suponer 
un obstaculo para la libre circulation de datos personales dentro de la Union cuando tales condiciones se 
apliquen al tratamiento transfronterizo de esos datos. 


(54) El tratamiento de categories especiales de datos personales, sin el consentimiento del interesado, puede ser 
necesario por razones de interes publico en el ambito de la salud publica. Ese tratamiento debe estar sujeto a 
medidas adecuadas y especificas a fin de proteger los derechos y libertades de las personas fisicas. En ese 
contexto, «salud publica* debe interpretarse en la definition del Reglamento (CE) n.° 1338/2008 del Parlamento 
Europeo y del Consejo ('), es decir, todos los elementos relacionados con la salud, concretamente el estado de 
salud, con inclusion de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, 
las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposition de 
asistencia sanitaria y el acceso universal a ella, asi como los gastos y la financiacion de la asistencia sanitaria, y las 
causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interes publico no debe dar 
lugar a que terceros, como empresarios, companias de seguros o entidades bancarias, traten los datos personales 
con otros fines. 


(55) Se realiza ademas por razones de interes publico el tratamiento de datos personales por las autoridades publicas 
con el fin de alcanzar los objetivos, establecidos en el Derecho constitucional o en el Derecho international 
publico, de asociaciones religiosas reconocidas oficialmente. 


(56) Si, en el marco de actividades electorales, el funcionamiento del sistema democratico exige en un Estado miembro 
que los partidos politicos recopilen datos personales sobre las opiniones politicas de las personas, puede 
autorizarse el tratamiento de estos datos por razones de interes publico, siempre que se ofrezcan garantias 
adecuadas. 


(57) Si los datos personales tratados por un responsable no le permiten identificar a una persona fisica, el responsable 
no debe estar obligado a obtener information adicional para identificar al interesado con la unica finalidad de 
cumplir cualquier disposition del presente Reglamento. No obstante, el responsable del tratamiento no debe 
negarse a recibir information adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus 
derechos. La identification debe incluir la identification digital de un interesado, por ejemplo mediante un 
mecanismo de autenticacion, como las mismas credenciales, empleadas por el interesado para abrir una sesion en 
el servicio en linea ofrecido por el responsable. 


(58) El principio de transparency exige que toda information dirigida al publico o al interesado sea concisa, 
facilmente accesible y facil de entender, y que se utilice un lenguaje claro y sencillo, y, ademas, en su caso, se 
visualice. Esta information podria facilitarse en forma electronica, por ejemplo, cuando este dirigida al publico, 
mediante un sitio web. Elio es especialmente pertinente en situaciones en las que la proliferation de agentes y la 
complejidad tecnologica de la practica hagan que sea diffcil para el interesado saber y comprender si se estan 
recogiendo, por quien y con que finalidad, datos personales que le conciernen, como es en el caso de la 
publicidad en linea. Dado que los nifios merecen una protection especifica, cualquier information y 
comunicacion cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea facil de entender. 


(59) Deben arbitrarse formulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente 
Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el 
acceso a los datos personales y su rectification o supresion, asi como el ejercicio del derecho de oposicion. El 
responsable del tratamiento tambien debe proporcionar medios para que las solicitudes se presenten por medios 
electronicos, en particular cuando los datos personales se tratan por medios electronicos. El responsable del 
tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilation indebida y a mas tardar 
en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas. 


0 Reglamento (CE) n.° 1338/2008 del Parlamento Europeoy del Consejo, de 16 de diciembre de 2008, sobre estadisticas comunitarias de 
salud publica y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70). 
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(60) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la 
operation de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta 
informacion complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de 
las circunstancias y del contexto especfficos en que se traten los datos personales. Se debe ademas informar al 
interesado de la existencia de la elaboration de perfiles y de las consecuencias de dicha elaboration. Si los datos 
personales se obtienen de los interesados, tambien se les debe informar de si estan obligados a facilitarlos y de las 
consecuencias en caso de que no lo hicieran. Dicha informacion puede transmitirse en combination con unos 
iconos normalizados que ofrezcan, de forma facilmente visible, inteligible y claramente legible, una adecuada 
vision de conjunto del tratamiento previsto. Los iconos que se presentan en formato electronico deben ser 
legibles mecanicamente. 


(61) Se debe facilitar a los interesados la informacion sobre el tratamiento de sus datos personales en el momento en 
que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circuns¬ 
tancias del caso. Si los datos personales pueden ser comunicados legitimamente a otro destinatario, se debe 
informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del 
tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe 
proporcionar al interesado, antes de dicho tratamiento ulterior, informacion sobre ese otro fin y otra informacion 
necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias 
fuentes, debe facilitarse informacion general. 


(62) Sin embargo, no es necesario imponer la obligation de proporcionar informacion cuando el interesado ya posea 
la informacion, cuando el registro o la comunicacion de los datos personales esten expresamente establecidos por 
ley, o cuando facilitar la informacion al interesado resulte imposible o exija un esfuerzo desproporcionado. Tal 
podria ser particularmente el caso cuando el tratamiento se realice con fines de archivo en interes publico, fines 
de investigation cientifica o historica o fines estadisticos. A este respecto, debe tomarse en consideration el 
numero de interesados, la antigiiedad de los datos y las garantias adecuadas adoptadas. 


(63) Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer 
dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. 
Elio incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus 
historias clinicas que contengan informacion como diagnosticos, resultados de examenes, evaluaciones de 
facultativos y cualesquiera tratamientos o intervenciones practicadas. Todo interesado debe, por tanto, tener el 
derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, 
su plazo de tratamiento, sus destinatarios, la logica imph'cita en todo tratamiento automatico de datos personales 
y, por lo menos cuando se base en la elaboration de perfiles, las consecuencias de dicho tratamiento. Si es 
posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que 
ofrezca al interesado un acceso directo a sus datos personales. Este derecho no debe afectar negativamente a los 
derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los 
derechos de propiedad intelectual que protegen programas informaticos. No obstante, estas consideraciones no 
deben tener como resultado la negativa a prestar toda la informacion al interesado. Si trata una gran cantidad de 
informacion relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de 
facilitarse la informacion, el interesado especifique la informacion o actividades de tratamiento a que se refiere la 
solicitud. 


(64) El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los 
interesados que soliciten acceso, en particular en el contexto de los servicios en linea y los identificadores en 
linea. El responsable no debe conservar datos personales con el unico proposito de poder responder a posibles 
solicitudes. 


(65) Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al 
olvido» si la retention de tales datos infringe el presente Reglamento o el Derecho de la Union o de los Estados 
miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus 
datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron 
recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se 
oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales 
incumple de otro modo el presente Reglamento. Este derecho es pertinente en particular si el interesado dio su 
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consentimiento siendo nino y no se es plenamente consciente de los riesgos que implica el tratamiento, y mas 
tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este 
derecho aunque ya no sea un nino. Sin embargo, la retention ulterior de los datos personales debe ser licita 
cuando sea necesaria para el ejercicio de la libertad de expresion e informacion, para el cumplimiento de una 
obligacion legal, para el cumplimiento de una mision realizada en interes publico o en el ejercicio de poderes 
publicos conferidos al responsable del tratamiento, por razones de interes publico en el ambito de la salud 
publica, con fines de archivo en interes publico, fines de investigation cientffica o historica o fines estadisticos, o 
para la formulation, el ejercicio o la defensa de reclamaciones. 


(66) A fin de reforzar el «derecho al olvido» en el entorno en lfnea, el derecho de supresion debe ampliarse de tal 
forma que el responsable del tratamiento que haya hecho publicos datos personales este obligado a indicar a los 
responsables del tratamiento que esten tratando tales datos personales que supriman todo enlace a ellos, o las 
copias o replicas de tales datos. Al proceder asi, dicho responsable debe tomar medidas razonables, teniendo en 
cuenta la tecnologia y los medios a su disposition, incluidas las medidas tecnicas, para informar de la solicitud 
del interesado a los responsables que esten tratando los datos personales. 


(67) Entre los metodos para limitar el tratamiento de datos personales cabria incluir los consistentes en trasladar 
temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos 
personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros 
automatizados la limitation del tratamiento debe realizarse, en principio, por medios tecnicos, de forma que los 
datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el 
tratamiento de los datos personales este limitado debe indicarse claramente en el sistema. 


(68) Para reforzar aun mas el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectue 
por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales 
que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso comun, de 
lectura mecanica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los 
responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse 
cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea 
necesario para la ejecucion de un contrato. No debe aplicarse cuando el tratamiento tiene una base jurfdica 
distinta del consentimiento o el contrato. Por su propia naturaleza, dicho derecho no debe ejercerse en contra de 
responsables que traten datos personales en el ejercicio de sus funciones publicas. Por lo tanto, no debe aplicarse, 
cuando el tratamiento de los datos personales sea necesario para cumplir una obligacion legal aplicable al 
responsable o para el cumplimiento de una mision realizada en interes publico o en el ejercicio de poderes 
publicos conferidos al responsable. El derecho del interesado a transmitir o recibir datos personales que lo 
conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean tecnicamente 
compatibles. Cuando un conjunto de datos personales determinado concierna a mas de un interesado, el derecho 
a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de 
conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del 
interesado a obtener la supresion de los datos personales y las limitaciones de ese derecho recogidas en el 
presente Reglamento, y en particular no debe implicar la supresion de los datos personales concernientes al 
interesado que este haya facilitado para la ejecucion de un contrato, en la medida y durante el tiempo en que los 
datos personales sean necesarios para la ejecucion de dicho contrato. El interesado debe tener derecho a que los 
datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea tecnicamente 
posible. 


(69) En los casos en que los datos personales puedan ser tratados licitamente porque el tratamiento es necesario para 
el cumplimiento de una mision realizada en interes publico o en el ejercicio de poderes publicos conferidos al 
responsable del tratamiento o por motivos de intereses legi'timos del responsable o de un tercero, el interesado 
debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situation 
particular. Debe ser el responsable el que demuestre que sus intereses legi'timos imperiosos prevalecen sobre los 
intereses o los derechos y libertades fundamentales del interesado. 


(70) Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a 
oponerse a dicho tratamiento, inclusive a la elaboration de perfiles en la medida en que este relacionada con 
dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento 
y sin coste alguno. Dicho derecho debe comunicarse explicitamente al interesado y presentarse claramente y al 
margen de cualquier otra informacion. 
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(71) El interesado debe tener derecho a no ser objeto de una decision, que puede incluir una medida, que evalue 
aspectos personales relativos a el, y que se base unicamente en el tratamiento automatizado y produzca efectos 
jurfdicos en el o le afecte significativamente de modo similar, como la denegacion automatica de una solicitud de 
credito en li'nea o los servicios de contratacion en red en los que no medie intervencion humana alguna. Este tipo 
de tratamiento incluye la elaboration de perfiles consistente en cualquier forma de tratamiento de los datos 
personales que evalue aspectos personales relativos a una persona ffsica, en particular para analizar o predecir 
aspectos relacionados con el rendimiento en el trabajo, la situation economica, la salud, las preferencias o 
intereses personales, la fiabilidad o el comportamiento, la situation o los movimientos del interesado, en la 
medida en que produzca efectos juridicos en el o le afecte significativamente de modo similar. Sin embargo, se 
deben permitir las decisiones basadas en tal tratamiento, incluida la elaboration de perfiles, si lo autoriza 
expresamente el Derecho de la Union o de los Estados miembros aplicable al responsable del tratamiento, incluso 
con fines de control y prevention del fraude y la evasion fiscal, realizada de conformidad con las reglamen- 
taciones, normas y recomendaciones de las instituciones de la Union o de los organos de supervision nacionales 
y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o 
necesario para la conclusion o ejecucion de un contrato entre el interesado y un responsable del tratamiento, o 
en los casos en los que el interesado haya dado su consentimiento explicito. En cualquier caso, dicho tratamiento 
debe estar sujeto a las garantias apropiadas, entre las que se deben incluir la information especifica al interesado y 
el derecho a obtener intervencion humana, a expresar su punto de vista, a recibir una explication de la decision 
tomada despues de tal evaluation y a impugnar la decision. Tal medida no debe afectar a un menor. 


A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circuns- 
tancias y contexto espedficos en los que se tratan los datos personales, el responsable del tratamiento debe 
utilizar procedimientos matematicos o estadisticos adecuados para la elaboration de perfiles, aplicar medidas 
tecnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen 
inexactitudes en los datos personales y se reduce al maximo el riesgo de error, asegurar los datos personales de 
forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, 
entre otras cosas, efectos discriminatorios en las personas ffsicas por motivos de raza u origen etnico, opiniones 
politicas, religion o creencias, afiliacion sindical, condition genetica o estado de salud u orientation sexual, o que 
den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboration de perfiles sobre la 
base de categorfas particulares de datos personales unicamente deben permitirse en condiciones especificas. 


(72) La elaboration de perfiles esta sujeta a las normas del presente Reglamento que rigen el tratamiento de datos 
personales, como los fundamentos juridicos del tratamiento o los principios de la protection de datos. El Comite 
Europeo de Protection de Datos establecido por el presente Reglamento (en lo sucesivo, el «Comite») debe tener la 
posibilidad de formular orientaciones en este contexto. 


(73) El Derecho de la Union o de los Estados miembros puede imponer restricciones a determinados principios y a los 
derechos de information, acceso, rectification o supresion de datos personales, al derecho a la portabilidad de los 
datos, al derecho de oposicion, a las decisiones basadas en la elaboration de perfiles, asi como a la comunicacion 
de una violation de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas 
de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad 
democratica para salvaguardar la seguridad publica, incluida la protection de la vida humana, especialmente en 
respuesta a catastrofes naturales o de origen humano, la prevention, investigation y el enjuiciamiento de 
infracciones penales o la ejecucion de sanciones penales, incluida la protection frente a las amenazas contra la 
seguridad publica o de violaciones de normas deontologicas en las profesiones reguladas, y su prevention, otros 
objetivos importantes de interes publico general de la Union o de un Estado miembro, en particular un 
importante interes economico o financiero de la Union o de un Estado miembro, la llevanza de registros publicos 
por razones de interes publico general, el tratamiento ulterior de datos personales archivados para ofrecer 
information especifica relacionada con el comportamiento politico durante los regimenes de antiguos Estados 
totalitarios, o la protection del interesado o de los derechos y libertades de otros, incluida la protection social, la 
salud publica y los fines humanitarios. Dichas restricciones deben ajustarse a lo dispuesto en la Carta y en el 
Convenio Europeo para la Protection de los Derechos Humanos y de las Libertades Fundamentales. 


(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos 
personales realizado por el mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar 
medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el 
presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el 
ambito, el contexto y los fines del tratamiento asi como el riesgo para los derechos y libertades de las personas 
fisicas. 
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(75) Los riesgos para los derechos y libertades de las personas fisicas, de gravedad y probabilidad variables, pueden 
deberse al tratamiento de datos que pudieran provocar danos y perjuicios fisicos, materiales o inmateriales, en 
particular en los casos en los que el tratamiento pueda dar lugar a problemas de discrimination, usurpation de 
identidad o fraude, perdidas financieras, dano para la reputation, perdida de confidencialidad de datos sujetos al 
secreto profesional, reversion no autorizada de la seudonimizacion o cualquier otro perjuicio economico o social 
significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer 
el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 
etnico o racial, las opiniones politicas, la religion o creencias filosoficas, la militancia en sindicatos y el 
tratamiento de datos geneticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e 
infracciones penales o medidas de seguridad conexas; en los casos en los que se evaluen aspectos personales, en 
particular el analisis o la prediction de aspectos referidos al rendimiento en el trabajo, situation economica, 
salud, preferencias o intereses personales, fiabilidad o comportamiento, situation o movimientos, con el fin de 
crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en 
particular ninos; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte 
a un gran numero de interesados. 


(76) La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con 
referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse 
sobre la base de una evaluation objetiva mediante la cual se determine si las operaciones de tratamiento de datos 
suponen un riesgo o si el riesgo es alto. 


(77) Se podrfan proporcionar directrices para la aplicacion de medidas oportunas y para demostrar el cumplimiento 
por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identification del 
riesgo relacionado con el tratamiento, a su evaluation en terminos de origen, naturaleza, probabilidad y gravedad 
y a la identification de buenas practicas para mitigar el riesgo, que revistan, en particular, la forma de codigos de 
conducta aprobados, certificaciones aprobadas, directrices dadas por el Comite o indicaciones proporcionadas 
por un delegado de protection de datos. El Comite tambien puede emitir directrices sobre operaciones de 
tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas 
fisicas, e indicar que medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestion. 


(78) La protection de los derechos y libertades de las personas fisicas con respecto al tratamiento de datos personales 
exige la adoption de medidas tecnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los 
requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el 
responsable del tratamiento debe adoptar politicas intemas y aplicar medidas que cumplan en particular los 
principios de protection de datos desde el diseno y por defecto. Dichas medidas podrfan consistir, entre otras, en 
reducir al maximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar 
transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el 
tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, 
disenar, seleccionar y usar aplicaciones, servicios y productos que estan basados en el tratamiento de datos 
personales o que tratan datos personales para cumplir su funcion, ha de alentarse a los productores de los 
productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protection de datos cuando desarrollan 
y disenen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atencion al estado de la 
tecnica, de que los responsables y los encargados del tratamiento estan en condiciones de cumplir sus 
obligaciones en materia de protection de datos. Los principios de la protection de datos desde el diseno y por 
defecto tambien deben tenerse en cuenta en el contexto de los contratos publicos. 


(79) La protection de los derechos y libertades de los interesados, asi como la responsabilidad de los responsables y 
encargados del tratamiento, tambien en lo que respecta a la supervision por parte de las autoridades de control y 
a las medidas adoptadas por ellas, requieren una atribucion clara de las responsabilidades en virtud del presente 
Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma 
conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable. 


(80) El responsable o el encargado del tratamiento no establecido en la Union que este tratando datos personales de 
interesados que residan en la Union y cuyas actividades de tratamiento estan relacionadas con la oferta de bienes 
o servicios a dichos interesados en la Union, independientemente de si se requiere un pago por parte de estos, o 
con el control de su comportamiento en la medida en que este tenga lugar en la Union, debe designar a un 
representante, a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de categories 
especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y 
sea improbable que entrane un riesgo para los derechos y libertades de las personas fisicas, vista la naturaleza, el 
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contexto, el ambito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo 
publico. El representante debe actuar por cuenta del responsable o el encargado y puede ser contactado por 
cualquier autoridad de control. El representante debe ser designado expresamente por mandato escrito del 
responsable o del encargado para que actue en su nombre con respecto a las obligaciones que les incumben en 
virtud del presente Reglamento. La designation de dicho representante no afecta a la responsabilidad del 
responsable o del encargado en virtud del presente Reglamento. Dicho representante debe desempenar sus 
funciones conforme al mandato recibido del responsable o del encargado, incluida la cooperation con las 
autoridades de control competentes en relation con cualquier medida que se tome para garantizar el 
cumplimiento del presente Reglamento. El representante designado debe estar sujeto a medidas coercitivas en 
caso de incumplimiento por parte del responsable o del encargado. 


(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a 
cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, 
debe recurrir unicamente a encargados que ofrezcan suficientes garantias, en particular en lo que respecta a 
conocimientos especializados, fiabilidad y recursos, de cara a la aplicacion de medidas tecnicas y organizativas 
que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesion del 
encargado a un codigo de conducta aprobado o a un mecanismo de certification aprobado puede servir de 
elemento para demostrar el cumplimiento de las obligaciones por parte del responsable. El tratamiento por un 
encargado debe regirse por un contrato u otro acto jurfdico con arreglo al Derecho de la Union o de los Estados 
miembros que vincule al encargado con el responsable, que fije el objeto y la duration del tratamiento, la 
naturaleza y fines del tratamiento, el tipo de datos personales y las categorfas de interesados, habida cuenta de las 
funciones y responsabilidades especfficas del encargado en el contexto del tratamiento que ha de llevarse a cabo y 
del riesgo para los derechos y libertades del interesado. El responsable y el encargado pueden optar por basarse 
en un contrato individual o en clausulas contractuales tipo que adopte directamente la Comision o que primero 
adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comision. 
Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a election de aquel, devolver o 
suprimir los datos personales, salvo que el Derecho de la Union o de los Estados miembros aplicable al encargado 
del tratamiento obligue a conservar los datos. 


(82) Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe 
mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados 
estan obligados a cooperar con la autoridad de control y a poner a su disposition, previa solicitud, dichos 
registros, de modo que puedan servir para supervisar las operaciones de tratamiento. 


(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el 
responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, 
como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, 
teniendo en cuenta el estado de la tecnica y el coste de su aplicacion con respecto a los riesgos y la naturaleza de 
los datos personales que deban protegerse. Al evaluar el riesgo en relation con la seguridad de los datos, se deben 
tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destruction, perdida o 
alteration accidental o ilicita de datos personales transmitidos, conservados o tratados de otra forma, o la 
comunicacion o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar danos y perjuicios 
fisicos, materiales o inmateriales. 


(84) A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las 
operaciones de tratamiento entranen un alto riesgo para los derechos y libertades de las personas fisicas, debe 
incumbir al responsable del tratamiento la realization de una evaluation de impacto relativa a la protection de 
datos, que evalue, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El 
resultado de la evaluation debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse 
con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si 
una evaluation de impacto relativa a la protection de datos muestra que las operaciones de tratamiento entranan 
un alto riesgo que el responsable no puede mitigar con medidas adecuadas en terminos de tecnologfa disponible 
y costes de aplicacion, debe consultarse a la autoridad de control antes del tratamiento. 


(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden 
entranar danos y perjuicios fisicos, materiales o inmateriales para las personas fisicas, como perdida de control 
sobre sus datos personales o restriction de sus derechos, discrimination, usurpation de identidad, perdidas 
financieras, reversion no autorizada de la seudonimizacion, dano para la reputation, perdida de confidencialidad 
de datos sujetos al secreto profesional, o cualquier otro perjuicio economico o social significativo para la persona 
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fisica en cuestion. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que 
se ha producido una violacion de la seguridad de los datos personales, el responsable debe, sin dilacion indebida 
y, de ser posible, a mas tardar 72 horas despues de que haya tenido constancia de ella, notificar la violacion de la 
seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda 
demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violacion de la 
seguridad de los datos personales entrane un riesgo para los derechos y las libertades de las personas fisicas. Si 
dicha notificacion no es posible en el plazo de 72 horas, debe acompanarse de una indication de los motivos de 
la dilacion, pudiendo facilitarse information por fases sin mas dilacion indebida. 


(86) El responsable del tratamiento debe comunicar al interesado sin dilacion indebida la violacion de la seguridad de 
los datos personales en caso de que puede entranar un alto riesgo para sus derechos y libertades, y permitirle 
tomar las precauciones necesarias. La comunicacion debe describir la naturaleza de la violacion de la seguridad de 
los datos personales y las recomendaciones para que la persona fisica afectada mitigue los potenciales efectos 
adversos resultantes de la violacion. Dichas comunicaciones a los interesados deben realizarse tan pronto como 
sea razonablemente posible y en estrecha cooperation con la autoridad de control, siguiendo sus orientaciones o 
las de otras autoridades competentes, como las autoridades policiales. Asi, por ejemplo, la necesidad de mitigar 
un riesgo de danos y perjuicios inmediatos justificarfa una rapida comunicacion con los interesados, mientras que 
cabe justificar que la comunicacion lleve mas tiempo por la necesidad de aplicar medidas adecuadas para impedir 
violaciones de la seguridad de los datos personales continuas o similares. 


(87) Debe verificarse si se ha aplicado toda la protection tecnologica adecuada y se han tornado las medidas organi- 
zativas oportunas para determinar de inmediato si se ha producido una violacion de la seguridad de los datos 
personales y para informar sin dilacion a la autoridad de control y al interesado. Debe verificarse que la 
notificacion se ha realizado sin dilacion indebida teniendo en cuenta, en particular, la naturaleza y gravedad de la 
violacion de la seguridad de los datos personales y sus consecuencias y efectos adversos para el interesado. Dicha 
notificacion puede resultar en una intervention de la autoridad de control de conformidad con las funciones y 
poderes que establece el presente Reglamento. 


(88) Al establecer disposiciones de aplicacion sobre el formato y los procedimientos aplicables a la notificacion de las 
violaciones de la seguridad de los datos personales, hay que tener debidamente en cuenta las circunstancias de tal 
violacion, inclusive si los datos personales habian sido protegidos mediante las medidas tecnicas de protection 
adecuadas, limitando eficazmente la probabilidad de usurpation de identidad u otras formas de uso indebido. 
Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legitimos de las autoridades 
policiales en caso de que una comunicacion prematura pueda obstaculizar innecesariamente la investigation de 
las circunstancias de una violacion de la seguridad de los datos personales. 


(89) La Directiva 95/46/CE establecio la obligation general de notificar el tratamiento de datos personales a las 
autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligation, sin embargo, no 
contribuyo en todos los casos a mejorar la protection de los datos personales. Por tanto, estas obligaciones 
generales de notificacion indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces 
que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y 
fines, entranen probablemente un alto riesgo para los derechos y libertades de las personas fisicas. Estos tipos de 
operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologias, o son de una 
nueva clase y el responsable del tratamiento no ha realizado previamente una evaluation de impacto relativa a la 
protection de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial. 


(90) En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluation de impacto relativa a la 
protection de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta 
la naturaleza, ambito, contexto y fines del tratamiento y los origenes del riesgo. Dicha evaluation de impacto 
debe incluir, en particular, las medidas, garantias y mecanismos previstos para mitigar el riesgo, garantizar la 
protection de los datos personales y demostrar la conformidad con el presente Reglamento. 


(91) Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una 
cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrian afectar a un 
gran numero de interesados y entranen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, 
cuando, en funcion del nivel de conocimientos tecnicos alcanzado, se haya utilizado una nueva tecnologia a gran 
escala y a otras operaciones de tratamiento que entranan un alto riesgo para los derechos y libertades de los 
interesados, en particular cuando estas operaciones hace mas dificil para los interesados el ejercicio de sus 
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derechos. La evaluacion de impacto relativa a la proteccion de datos debe realizarse tambien en los casos en los 
que se tratan datos personales para adoptar decisiones relativas a personas fisicas concretas a raiz de una 
evaluacion sistematica y exhaustiva de aspectos personales propios de personas fisicas, basada en la elaboration 
de perfiles de dichos datos o a raiz del tratamiento de categorias especiales de datos personales, datos biometricos 
o datos sobre condenas e infracciones penales o medidas de seguridad conexas. Tambien es necesaria una 
evaluacion de impacto relativa a la proteccion de datos para el control de zonas de acceso publico a gran escala, 
en particular cuando se utilicen dispositivos optoelectronicos o para cualquier otro tipo de operation cuando la 
autoridad de control competente considere que el tratamiento entrane probablemente un alto riesgo para los 
derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o 
utilizar un servicio o ejecutar un contrato, o porque se efectue sistematicamente a gran escala. El tratamiento de 
datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o 
clientes, un solo medico, otro profesional de la salud o abogado. En estos casos, la evaluacion de impacto de la 
proteccion de datos no debe ser obligatoria. 


(92) Hay circunstancias en las que puede ser razonable y economico que una evaluacion de impacto relativa a la 
proteccion de datos abarque mas de un unico proyecto, por ejemplo, en el caso de que las autoridades u 
organismos publicos prevean crear una aplicacion o plataforma comun de tratamiento, o si varios responsables 
proyecten introducir una aplicacion o un entorno de tratamiento comun en un sector o segmento empresarial o 
para una actividad horizontal de uso generalizado. 


(93) Los Estados miembros, al adoptar el Derecho en el que se basa el desempeno de las funciones de la autoridad 
publica o el organismo publico y que regula la operation o el conjunto de operaciones de tratamiento en 
cuestion, pueden considerar necesario llevar a cabo dicha evaluacion con caracter previo a las actividades de 
tratamiento. 


(94) Debe consultarse a la autoridad de control antes de iniciar las actividades de tratamiento si una evaluacion de 
impacto relativa a la proteccion de datos muestra que, en ausencia de garantias, medidas de seguridad y 
mecanismos destinados a mitigar los riesgos, el tratamiento entranaria un alto riesgo para los derechos y 
libertades de las personas fisicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por 
medios razonables en cuanto a tecnologia disponible y costes de aplicacion. Existe la probabilidad de que ese alto 
riesgo se deba a determinados tipos de tratamiento y al alcance y frecuencia de este, lo que tambien puede 
ocasionar danos y perjuicios o una injerencia en los derechos y libertades de la persona fisica. La autoridad de 
control debe responder a la solicitud de consulta dentro de un plazo determinado. Sin embargo, la ausencia de 
respuesta de la autoridad de control dentro de dicho plazo no debe obstar a cualquier intervention de dicha 
autoridad basada en las funciones y poderes que le atribuye el presente Reglamento, incluido el poder de prohibir 
operaciones de tratamiento. Como parte de dicho proceso de consulta, se puede presentar a la autoridad de 
control el resultado de una evaluacion de impacto relativa a la proteccion de datos efectuada en relation con el 
tratamiento en cuestion, en particular las medidas previstas para mitigar los riesgos para los derechos y libertades 
de las personas fisicas. 


(9 5) El encargado del tratamiento debe asistir al responsable cuando sea necesario y a petition suya, a fin de asegurar 
que se cumplen las obligaciones que se derivan de la realization de las evaluaciones de impacto relativas a la 
proteccion de datos y de la consulta previa a la autoridad de control. 


(96) Deben llevarse tambien a cabo consultas con la autoridad de control en el curso de la tramitacion de una medida 
legislativa o reglamentaria que establezca el tratamiento de datos personales, a fin de garantizar la conformidad 
del tratamiento previsto con el presente Reglamento y, en particular, de mitigar el riesgo que implique el 
tratamiento para el interesado. 


(97) Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe 
contar con la ayuda de una persona con conocimientos especializados del Derecho y la practica en materia de 
proteccion de datos si el tratamiento lo realiza una autoridad publica, a exception de los tribunales u otras 
autoridades judiciales independientes en el ejercicio de su funcion judicial, si el tratamiento lo realiza en el sector 
privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que 
requieren un seguimiento habitual y sistematico de los interesados, o si las actividades principales del responsable 
o del encargado consisten en el tratamiento a gran escala de categorias especiales de datos personales y de datos 
relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable 
estan relacionadas con sus actividades primarias y no estan relacionadas con el tratamiento de datos personales 
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como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, 
en funcion de las operaciones de tratamiento de datos que se lleven a cabo y de la protection exigida para los 
datos personales tratados por el responsable o el encargado. Tales delegados de protection de datos, sean o no 
empleados del responsable del tratamiento, deben estar en condiciones de desempenar sus funciones y cometidos 
de manera independiente. 


(98) Se debe incitar a las asociaciones u otros organismos que representen a categorias de responsables o encargados a 
que elaboren codigos de conducta, dentro de los limites frjados por el presente Reglamento, con el fin de facilitar 
su aplicacion efectiva, teniendo en cuenta las caracterfsticas especificas del tratamiento llevado a cabo en 
determinados sectores y las necesidades especificas de las microempresas y las pequenas y medianas empresas. 
Dichos codigos de conducta podrian en particular establecer las obligaciones de los responsables y encargados, 
teniendo en cuenta el riesgo probable para los derechos y libertades de las personas fisicas que se derive del 
tratamiento. 


(99) Al elaborar un codigo de conducta, o al modificar o ampliar dicho codigo, las asociaciones y otros organismos 
que representan a categorias de responsables o encargados deben consultar a las partes interesadas, incluidos los 
interesados cuando sea posible, y tener en cuenta las consideraciones transmitidas y las opiniones manifestadas 
en respuesta a dichas consultas. 


(100) A fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el estableci- 
miento de mecanismos de certification y sellos y marcas de protection de datos, que permitan a los interesados 
evaluar con mayor rapidez el nivel de protection de datos de los productos y servicios correspondientes. 


(101) Los flujos transfronterizos de datos personales a, y desde, paises no pertenecientes a la Union y organizaciones 
internacionales son necesarios para la expansion del comercio y la cooperation internacionales. El aumento de 
estos flujos plantea nuevos retos e inquietudes en lo que respecta a la protection de los datos de caracter 
personal. No obstante, si los datos personales se transfieren de la Union a responsables, encargados u otros 
destinatarios en terceros paises o a organizaciones internacionales, esto no debe menoscabar el nivel de 
protection de las personas fisicas garantizado en la Union por el presente Reglamento, ni siquiera en las transfe- 
rencias ulteriores de datos personales desde el tercer pais u organization internacional a responsables y 
encargados en el mismo u otro tercer pais u organization internacional. En todo caso, las transferencias a 
terceros paises y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente 
Reglamento. Una transferencia solo podria tener lugar si, a reserva de las demas disposiciones del presente 
Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transfe¬ 
rencia de datos personales a terceros paises u organizaciones internacionales. 


(102) El presente Reglamento se entiende sin perjuicio de los acuerdos internacionales celebrados entre la Union y 
terceros paises que regulan la transferencia de datos personales, incluidas las oportunas garantias para los 
interesados. Los Estados miembros pueden celebrar acuerdos internacionales que impliquen la transferencia de 
datos personales a terceros paises u organizaciones internacionales siempre que dichos acuerdos no afecten al 
presente Reglamento ni a ninguna otra disposition del Derecho de la Union e incluyan un nivel adecuado de 
protection de los derechos fundamentales de los interesados. 


(103) La Comision puede decidir, con efectos para toda la Union, que un tercer pais, un territorio o un sector especifico 
de un tercer pais, o una organization internacional ofrece un nivel de protection de datos adecuado, aportando 
de esta forma en toda la Union seguridad y uniformidad juridicas en lo que se refiere al tercer pais u 
organization internacional que se considera ofrece tal nivel de protection. En estos casos, se pueden realizar 
transferencias de datos personales a estos paises sin que se requiera obtener otro tipo de autorizacion. La 
Comision tambien puede decidir revocar esa decision, previo aviso y completa declaration motivada al tercer pais 
u organization internacional. 


(104) En consonancia con los valores fundamentales en los que se basa la Union, en particular la protection de los 
derechos humanos, la Comision, en su evaluation del tercer pais, o de un territorio o un sector especifico de un 
tercer pais, debe tener en cuenta de que manera respeta un determinado tercer pais respeta el Estado de Derecho, 
el acceso a la justicia y las normas y criterios internacionales en materia de derechos humanos y su Derecho 
general y sectorial, incluida la legislation relativa a la seguridad publica, la defensa y la seguridad nacional, asi 
como el orden publico y el Derecho penal. En la adoption de una decision de adecuacion con respecto a un 
territorio o un sector especifico de un tercer pais se deben tener en cuenta criterios claros y objetivos, como las 
actividades concretas de tratamiento y el alcance de las normas juridicas aplicables y la legislation vigente en el 
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tercer pai's. El tercer pais debe ofrecer garantfas que aseguren un nivel adecuado de proteccion equivalente en lo 
esencial al ofrecido en la Union, en particular cuando los datos personales son objeto de tratamiento en uno o 
varios sectores especificos. En particular, el tercer pais debe garantizar que haya un control verdaderamente 
independiente de la proteccion de datos y establecer mecanismos de cooperation con las autoridades de 
proteccion de datos de los Estados miembros, asi como reconocer a los interesados derechos efectivos y exigibles 
y acciones administrativas y judiciales efectivas. 


(105) Aparte de los compromisos internacionales adquiridos por el tercer pais u organization internacional, la 
Comision debe tener en cuenta las obligaciones resultantes de la participation del tercer pais u organization 
internacional en sistemas multilaterales o regionales, en particular en relation con la proteccion de los datos 
personales, y el cumplimiento de esas obligaciones. En particular, debe tenerse en cuenta la adhesion del pais al 
Convenio del Consejo de Europa, de 28 de enero de 1981, para la proteccion de las personas con respecto al 
tratamiento automatizado de datos de caracter personal y su Protocolo adicional. La Comision debe consultar al 
Comite al evaluar el nivel de proteccion existente en terceros paises u organizaciones internacionales. 


(106) La Comision debe supervisar la aplicacion de las decisiones sobre el nivel de proteccion en un pais tercero, un 
territorio o un sector especifico de un pais tercero, o una organization internacional, y la aplicacion las 
decisiones adoptadas sobre la base del articulo 25, apartado 6, o el articulo 26, apartado 4, de la 
Directiva 95/46/CE. En sus decisiones de adecuacion, la Comision debe establecer un mecanismo para la revision 
periodica de su aplicacion. Dicha revision periodica debe realizarse en elaboration con el tercer pais u 
organization internacional de que se trate y tener en cuenta todos los cambios en la materia que se produzcan en 
dicho tercer pais u organization internacional. A efectos de la supervision y realization de las revisiones 
periodicas, la Comision debe tomar en consideration las opiniones y conclusiones del Parlamento Europeo y del 
Consejo, asi como de otros organismos y fuentes pertinentes. La Comision debe evaluar, en un plazo razonable, 
la aplicacion de dichas decisiones e informal' de cualquier conclusion pertinente al Comite que, en el sentido del 
Reglamento (UE) n.° 182/2011 del Parlamento Europeo y del Consejo ('), establece el presente Reglamento, y al 
Parlamento Europeo y el Consejo. 


(107) La Comision puede reconocer que un tercer pais, un territorio o sector especifico en un tercer pais, o una 
organization internacional ya no garantiza un nivel de proteccion de datos adecuado. En consecuencia, debe 
prohibirse la transferencia de datos personales a dicho tercer pais u organization internacional, salvo que se 
cumplan los requisites del presente Reglamento relativos a las transferencias basadas en garantias adecuadas, 
incluidas las normas corporativas vinculantes, y a las excepciones aplicadas a situaciones especificas. En ese caso, 
debe establecerse la celebration de consultas entre la Comision y esos terceros paises u organizaciones interna¬ 
cionales. La Comision debe informar en tiempo oportuno al tercer pais u organization internacional de las 
razones y entablar consultas a fin de subsanar la situation. 


(108) En ausencia de una decision por la que se constate la adecuacion de la proteccion de los datos, el responsable o el 
encargado del tratamiento deben tomar medidas para compensar la falta de proteccion de datos en un tercer pais 
mediante garantias adecuadas para el interesado. Tales garantias adecuadas pueden consistir en el recurso a 
normas corporativas vinculantes, a clausulas tipo de proteccion de datos adoptadas por la Comision o por una 
autoridad de control, o a clausulas contractuales autorizadas por una autoridad de control. Esas garantias deben 
asegurar la observancia de requisitos de proteccion de datos y derechos de los interesados adecuados al 
tratamiento dentro de la Union, incluida la disponibilidad por parte de los interesados de derechos exigibles y de 
acciones legales efectivas, lo que incluye el derecho a obtener una reparation administrativa o judicial efectiva y a 
reclamar una indemnizacion, en la Union o en un tercer pais. En particular, deben referirse al cumplimiento de 
los principios generales relativos al tratamiento de los datos personales y los principios de la proteccion de datos 
desde el diseno y por defecto. Las transferencias tambien pueden realizarlas autoridades o entidades publicas con 
entidades o autoridades publicas de terceros paises o con organizaciones internacionales con competencias o 
funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, 
como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las 
garantias figuran en acuerdos administrativos que no sean juridicamente vinculantes se debe recabar la 
autorizacion de la autoridad de control competente. 


(109) La posibilidad de que el responsable o el encargado del tratamiento recurran a clausulas tipo de proteccion de 
datos adoptadas por la Comision o una autoridad de control no debe obstar a que los responsables o encargados 


(') Reglamento (UE) n.° 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y 
los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de 
ejecucion por la Comision (DO L 55 de 28.2.2011, p. 13). 
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incluyan las clausulas tipo de proteccion de datos en un contrato mas amplio, como un contrato entre dos 
encargados, o a que anadan otras clausulas o garantfas adicionales, siempre que no contradigan, directa o indirec- 
tamente, las clausulas contractuales tipo adoptadas por la Comision o por una autoridad de control, ni mermen 
los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del 
tratamiento a ofrecer garantfas adicionales mediante compromisos contractuales que complementen las clausulas 
tipo de proteccion de datos. 


(110) Todo grupo empresarial o union de empresas dedicadas a una actividad economica conjunta debe tener la 
posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la 
Union a organizaciones dentro del mismo grupo empresarial o union de empresas dedicadas a una actividad 
economica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos 
aplicables con el fin de ofrecer garantfas adecuadas para las transferencias o categorfas de transferencias de datos 
de caracter personal. 


(111) Se debe establecer la posibilidad de realizar transferencias en determinadas circunstancias, de mediar el consenti- 
miento explfcito del interesado, si la transferencia es ocasional y necesaria en relation con un contrato o una 
reclamation, independientemente de tratarse de un procedimiento judicial o un procedimiento administrative o 
extrajudicial, incluidos los procedimientos ante organismos reguladores. Tambien se debe establecer la posibilidad 
de realizar transferencias cuando asf lo requieran razones importantes de interes publico establecidas por el 
Derecho de la Union o de los Estados miembros, o cuando la transferencia se haga a partir de un registro 
establecido por ley y se destine a consulta por el publico o por personas que tengan un interes legftimo. En este 
ultimo caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorfas de datos 
incluidos en el registro y, cuando el registro este destinado a su consulta por personas que tengan un interes 
legftimo, la transferencia solo debe efectuarse a petition de dichas personas o, si estas van a ser las destinatarias, 
teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado. 


(112) Dichas excepciones deben aplicarse en particular a las transferencias de datos requeridas y necesarias por razones 
importantes de interes publico, por ejemplo en caso de intercambios internacionales de datos entre autoridades 
en el ambito de la competencia, administraciones fiscales o aduaneras, entre autoridades de supervision 
financiera, entre servicios competentes en materia de seguridad social o de sanidad publica, por ejemplo en caso 
contactos destinados a localizar enfermedades contagiosas o para reducir y/o eliminar el dopaje en el deporte. La 
transferencia de datos personales tambien debe considerarse lfcita en caso de que sea necesaria para proteger un 
interes esencial para los intereses vitales del interesado o de otra persona, incluida la integridad ffsica o la vida, si 
el interesado no esta en condiciones de dar su consentimiento. En ausencia de una decision de adecuacion, el 
Derecho de la Union o de los Estados miembros puede limitar expresamente, por razones importantes de interes 
publico, la transferencia de categorfas especfficas de datos a un tercer pat's o a una organizacion internacional. Los 
Estados miembros deben notificar esas disposiciones a la Comision. Puede considerarse necesaria, por una razon 
importante de interes publico o por ser de interes vital para el interesado, toda transferencia a una organizacion 
internacional humanitaria de datos personales de un interesado que no tenga capacidad ffsica o jurfdica para dar 
su consentimiento, con el fin de desempenar un cometido basado en las Convenciones de Ginebra o de 
conformarse al Derecho internacional humanitario aplicable en caso de conflictos armados. 


(113) Las transferencias que pueden calificarse de no repetitivas y solo se refieren a un numero limitado de interesados, 
tambien han de ser posibles en caso de servir a intereses legftimos imperiosos del responsable del tratamiento, si 
no prevalecen sobre ellos los intereses o los derechos y libertades del interesado y el responsable ha evaluado 
todas las circunstancias concurrentes en la transferencia de datos. El responsable debe prestar especial atencion a 
la naturaleza de los datos personales, la finalidad y la duration de la operation o las operaciones de tratamiento 
propuestas, asf como la situation en el pafs de origen, el tercer pat's y el pat's de destino final, y ofrecer, garantfas 
apropiadas para proteger los derechos fundamentales y las libertades de las personas ffsicas con respecto al 
tratamiento de sus datos personales. Dichas transferencias solo deben ser posibles en casos aislados, cuando 
ninguno de los otros motivos para la transferencia sean aplicables. Las legftimas expectativas de la sociedad en un 
aumento del conocimiento se deben tener en cuenta para fines de investigation cientffica o historica o fines 
estadfsticos. El responsable debe informar de la transferencia a la autoridad de control y al interesado. 


(114) En cualquier caso, cuando la Comision no haya tornado ninguna decision sobre el nivel adecuado de la 
proteccion de datos en un tercer pafs, el responsable o el encargado del tratamiento deben arbitrar soluciones que 
garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Union, 
una vez transferidos estos, de forma que sigan beneficiandose de derechos fundamentales y garantfas. 
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(115) Algunos pafses terceros adoptan leyes, reglamentaciones y otros actos jurfdicos con los que se pretende regular 
directamente las actividades de tratamiento de personas fisicas y juridicas bajo jurisdiction de los Estados 
miembros. Esto puede incluir sentencias de organos jurisdiccionales o decisiones de autoridades administrativas 
de terceros pafses que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos 
personales, y que no se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor 
entre el tercer pafs requirente y la Union o un Estado miembro. La aplicacion extraterritorial de dichas leyes, 
reglamentaciones y otros actos jurfdicos puede ser contraria al Derecho internacional e impedir la proteccion de 
las personas ffsicas garantizada en la Union en virtud del presente Reglamento. Las transferencias solo deben 
autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros 
pafses. Tal puede ser el caso, entre otros, cuando la comunicacion sea necesaria por una razon importante de 
interes publico reconocida por el Derecho de la Union o de los Estados miembros aplicable al responsable del 
tratamiento. 

(116) Cuando los datos personales circulan a traves de las fronteras hacia el exterior de la Union se puede poner en 
mayor riesgo la capacidad de las personas ffsicas para ejercer los derechos de proteccion de datos, en particular 
con el fin de protegerse contra la utilization o comunicacion ilfcitas de dicha informacion. Al mismo tiempo, es 
posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investiga- 
ciones relativas a actividades desarrolladas fuera de sus fronteras. Sus esfuerzos por colaborar en el contexto 
transfronterizo tambien pueden verse obstaculizados por poderes preventives o correctivos insuficientes, 
regfmenes jurfdicos incoherentes y obstaculos practicos, como la escasez de recursos. Por consiguiente, es 
necesario fomentar una cooperation mas estrecha entre las autoridades de control encargadas de la proteccion de 
datos para ayudarlas a intercambiar informacion y a llevar a cabo investigaciones con sus homologos interna- 
cionales. A fin de desarrollar mecanismos de cooperation internacional que faciliten y proporcionen asistencia 
internacional mutua en la ejecucion de legislation en materia de proteccion de datos personales, la Comision y 
las autoridades de control deben intercambiar informacion y cooperar en actividades relativas al ejercicio de sus 
competencias con las autoridades competentes de terceros pafses, sobre la base de la reciprocidad y de 
conformidad con el presente Reglamento. 

(117) El establecimiento en los Estados miembros de autoridades de control capacitadas para desempenar sus funciones 
y ejercer sus competencias con plena independencia constituye un elemento esencial de la proteccion de las 
personas ffsicas con respecto al tratamiento de datos de caracter personal. Los Estados miembros deben tener la 
posibilidad de establecer mas de una autoridad de control, a fin de reflejar su estructura constitucional, 
organizativa y administrativa. 

(118) La independencia de las autoridades de control no debe significar que dichas autoridades puedan quedar exentas 
de mecanismos de control o supervision en relation con sus gastos financieros, o de control judicial. 

(119) Si un Estado miembro establece varias autoridades de control, debe disponer por ley mecanismos que garanticen 
la participation efectiva de dichas autoridades de control en el mecanismo de coherencia. Tal Estado miembro 
debe, en particular, designar a la autoridad de control que actuara como punto de contacto unico de cara a la 
participation efectiva de dichas autoridades en el citado mecanismo, garantizando asf una cooperation rapida y 
fluida con otras autoridades de control, el Comite y la Comision. 

(120) Todas las autoridades de control deben estar dotadas de los recursos financieros y humanos, los locales y las 
infraestructuras que sean necesarios para la realization eficaz de sus funciones, en particular las relacionadas con 
la asistencia recfproca y la cooperation con otras autoridades de control de la Union. Cada autoridad de control 
debe disponer de un presupuesto anual publico propio, que podra formar parte del presupuesto general del 
Estado o de otro ambito nacional. 


(121) Las condiciones generales aplicables al miembro o los miembros de la autoridad de control deben establecerse 
por ley en cada Estado miembro y disponer, en particular, que dichos miembros han de ser nombrados, por un 
procedimiento transparente, por el Parlamento, el Gobierno o el jefe de Estado del Estado miembro, a propuesta 
del Gobierno, de un miembro del Gobierno o del Parlamento o una de sus camaras, o por un organismo indepen- 
diente encargado del nombramiento en virtud del Derecho de los Estados miembros. A fin de garantizar la 
independencia de la autoridad de control, sus miembros deben actual' con integridad, abstenerse de cualquier 
action que sea incompatible con sus funciones y no participar, mientras dure su mandato, en ninguna actividad 
profesional incompatible, sea o no remunerada. La autoridad de control debe tener su propio personal, 
seleccionado por esta o por un organismo independiente establecido por el Derecho de los Estados miembros, 
que este subordinado exclusivamente al miembro o los miembros de la autoridad de control. 

(122) Cada autoridad de control debe ser competente, en el territorio de su Estado miembro, para ejercer los poderes y 
desempenar las funciones que se le confieran de conformidad con el presente Reglamento. Lo anterior debe 
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abarcar, en particular, el tratamiento en el contexto de las actividades de un establecimiento del responsable o del 
encargado en el territorio de su Estado miembro, el tratamiento de datos personales realizado por autoridades 
publicas o por organismos privados que actuen en interes publico, el tratamiento que afecte a interesados en su 
territorio, o el tratamiento realizado por un responsable o un encargado que no este establecido en la Union 
cuando sus destinatarios sean interesados residentes en su territorio. Debe incluirse el examen de reclamaciones 
presentadas por un interesado, la realization de investigaciones sobre la aplicacion del presente Reglamento y el 
fomento de la sensibilization del publico acerca de los riesgos, las normas, las garantfas y los derechos en 
relation con el tratamiento de datos personales. 


(123) A fin de proteger a las personas fisicas con respecto al tratamiento de sus datos personales y de facilitar la libre 
circulation de los datos personales en el mercado interior, las autoridades de control deben supervisar la 
aplicacion de las disposiciones adoptadas de conformidad con el presente Reglamento y contribuir a su aplicacion 
coherente en toda la Union. A tal efecto, las autoridades de control deben cooperar entre ellas y con la Comision, 
sin necesidad de acuerdo alguno entre Estados miembros sobre la prestacion de asistencia mutua ni sobre dicha 
cooperation. 


(124) Si el tratamiento de datos personales se realiza en el contexto de las actividades de un establecimiento de un 
responsable o un encargado en la Union y el responsable o el encargado esta establecido en mas de un Estado 
miembro, o si el tratamiento en el contexto de las actividades de un unico establecimiento de un responsable o 
un encargado en la Union afecta o es probable que afecte sustancialmente a interesados en mas de un Estado 
miembro, la autoridad de control del establecimiento principal o del unico establecimiento del responsable o del 
encargado debe actuar como autoridad principal. Dicha autoridad debe cooperar con las demas autoridades 
interesadas, ya sea porque el responsable o el encargado tenga un establecimiento en el territorio de su Estado 
miembro, porque afecte sustancialmente a interesados que residen en su territorio, o porque se haya presentado 
una reclamation ante ellas. Asimismo, cuando un interesado que no resida en ese Estado miembro haya 
presentado una reclamation, la autoridad de control ante la que se haya presentado esta tambien debe ser 
autoridad de control interesada. En el marco de sus funciones de formulation de directrices sobre cualquier 
cuestion relacionada con la aplicacion del presente Reglamento, el Comite debe estar facultado para formular 
directrices, en particular sobre los criterios que han de tenerse en cuenta para determinar si el tratamiento en 
cuestion afecta sustancialmente a interesados de mas de un Estado miembro y sobre lo que constituya una 
objecion pertinente y motivada. 


(125) La autoridad principal debe ser competente para adoptar decisiones vinculantes relativas a las medidas de 
aplicacion de los poderes conferidos con arreglo al presente Reglamento. En su calidad de autoridad principal, la 
autoridad de control debe implicar estrechamente y coordinar a las autoridades de control interesadas en el 
proceso de toma de decisiones. En los casos en los que la decision consista en rechazar total o parcialmente la 
reclamation del interesado, esa decision debe ser adoptada por la autoridad de control ante la que se haya 
presentado la reclamation. 


(126) La decision debe ser acordada conjuntamente por la autoridad de control principal y las autoridades de control 
interesadas y debe dirigirse al establecimiento principal o unico del responsable o del encargado del tratamiento y 
ser vinculante para ambos. El responsable o el encargado deben tomar las medidas necesarias para garantizar el 
cumplimiento del presente Reglamento y la aplicacion de la decision notificada por la autoridad de control 
principal al establecimiento principal del responsable o del encargado en lo que se refiere a las actividades de 
tratamiento en la Union. 


(127) Cada autoridad de control que no actua como autoridad principal debe ser competente para tratar asuntos locales 
en los que, si bien el responsable o el encargado del tratamiento esta establecido en mas de un Estado miembro, 
el objeto del tratamiento espedfico se refiere exclusivamente al tratamiento efectuado en un unico Estado 
miembro y afecta exclusivamente a interesados de ese unico Estado miembro, por ejemplo cuando el tratamiento 
tiene como objeto datos personales de empleados en el contexto espedfico de empleo de un Estado miembro. En 
tales casos, la autoridad de control debe informar sin dilation al respecto a la autoridad de control principal. Una 
vez informada, la autoridad de control principal debe decidir si tratara el asunto de acuerdo con la disposition 
aplicable a la cooperation entre la autoridad de control principal y otras autoridades de control interesadas 
(«mecanismo de ventanilla unica»), o si lo debe tratar localmente la autoridad de control que le haya informado. 
Al decidir si trata el asunto, la autoridad de control principal debe considerar si existe un establecimiento del 
responsable o del encargado en el Estado miembro de la autoridad de control que le haya informado, con el fin 
de garantizar la execution efectiva de la decision respecto del responsable o encargado del tratamiento. Si la 
autoridad de control principal decide tratar el asunto, se debe ofrecer a la autoridad de control informante la 
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posibilidad de presentar un proyecto de decision, que la autoridad de control principal ha de tener en cuenta en 
la mayor medida posible al preparar su proyecto de decision al amparo del mecanismo de ventanilla unica. 


(128) Las normas sobre la autoridad de control principal y el mecanismo de ventanilla linica no deben aplicarse cuando 
el tratamiento sea realizado por autoridades publicas u organismos privados en interes publico. En tales casos, la 
unica autoridad de control competente para ejercer los poderes conferidos con arreglo al presente Reglamento 
debe ser la autoridad de control del Estado miembro en el que esten establecidos la autoridad publica o el 
organismo privado. 


(129) Para garantizar la supervision y ejecucion coherentes del presente Reglamento en toda la Union, las autoridades 
de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos 
poderes de investigacion, poderes correctivos y sancionadores, y poderes de autorizacion y consultivos, 
especialmente en casos de reclamaciones de personas fisicas, y sin perjuicio de las competencias de las 
autoridades encargadas de la persecution de los delitos con arreglo al Derecho de los Estados miembros para 
poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y ejercitar acciones 
judiciales. Dichos poderes deben incluir tambien el poder de imponer una limitation temporal o definitiva al 
tratamiento, incluida su prohibition. Los Estados miembros pueden especificar otras funciones relacionadas con 
la protection de datos personales con arreglo al presente Reglamento. Los poderes de las autoridades de control 
deben ejercerse de conformidad con garantias procesales adecuadas establecidas en el Derecho de la Union y los 
Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser 
adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo 
en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oidas antes de 
que se adopte cualquier medida que las afecte negativamente y evitar costes superfluos y molestias excesivas para 
las personas afectadas. Los poderes de investigacion en lo que se refiere al acceso a instalaciones deben ejercerse 
de conformidad con los requisitos especificos del Derecho procesal de los Estados miembros, como el de la 
autorizacion judicial previa. Toda medida juridicamente vinculante de la autoridad de control debe constar por 
escrito, ser clara e inequivoca, indicar la autoridad de control que dicto la medida y la fecha en que se dicto, 
llevar la firma del director o de un miembro de la autoridad de control autorizado por este, especificar los 
motivos de la medida y mencionar el derecho a la tutela judicial efectiva. Esto no debe obstar a que se impongan 
requisitos adicionales con arreglo al Derecho procesal de los Estados miembros. La adoption de una decision 
juridicamente vinculante implica que puede ser objeto de control judicial en el Estado miembro de la autoridad 
de control que adopto la decision. 


(130) Cuando la autoridad de control ante la cual se haya presentado la reclamation no sea la autoridad de control 
principal, esta ultima debe cooperar estrechamente con la primera con arreglo a las disposiciones sobre 
cooperation y coherencia establecidas en el presente Reglamento. En tales casos, la autoridad de control principal, 
al tomar medidas concebidas para producir efectos juridicos, incluida la imposition de multas administrativas, 
debe tener en cuenta en la mayor medida posible la opinion de la autoridad de control ante la cual se haya 
presentado la reclamation y la cual debe seguir siendo competente para realizar cualquier investigacion en el 
territorio de su propio Estado miembro en enlace con la autoridad de control competente. 


(131) En casos en los que otra autoridad de control deba actuar como autoridad de control principal para las 
actividades de tratamiento del responsable o del encargado pero el objeto concreto de una reclamation o la 
posible infraction afecta unicamente a las actividades de tratamiento del responsable o del encargado en el Estado 
miembro en el que se haya presentado la reclamation o detectado la posible infraction y el asunto no afecta 
sustancialmente ni es probable que afecte sustancialmente a interesados de otros Estados miembros, la autoridad 
de control que reciba una reclamation o que detecte situaciones que conlleven posibles infracciones del presente 
Reglamento o reciba de otra manera information sobre estas debe tratar de llegar a un arreglo amistoso con el 
responsable del tratamiento y, si no prospera, ejercer todos sus poderes. En lo anterior se debe incluir el 
tratamiento especifico realizado en el territorio del Estado miembro de la autoridad de control o con respecto a 
interesados en el territorio de dicho Estado miembro; el tratamiento efectuado en el contexto de una oferta de 
bienes o servicios destinada especfficamente a interesados en el territorio del Estado miembro de la autoridad de 
control; o el tratamiento que deba evaluarse teniendo en cuenta las obligaciones legales pertinentes en virtud del 
Derecho de los Estados miembros. 


(132) Entre las actividades de sensibilization del publico por parte de las autoridades de control deben incluirse 
medidas espedficas dirigidas a los responsables y los encargados del tratamiento, incluidas las microempresas y 
las pequenas y medianas empresas, asi como las personas fisicas, en particular en el contexto educativo. 
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(13 3) Las autoridades de control se deben ayudar una a otra en el desempeno de sus funciones y prestar asistencia 
mutua, con el fin de garantizar la aplicacion y ejecucion coherentes del presente Reglamento en el mercado 
interior. Una autoridad de control que solicite asistencia mutua puede adoptar una medida provisional si no 
recibe respuesta a su solicitud de asistencia en el plazo de un mes a partir de su reception por la otra autoridad 
de control. 


(134) Cada autoridad de control debe participar, cuando proceda, en operaciones conjuntas con otras autoridades de 
control. La autoridad de control a la que se solicite ayuda debe tener la obligation de responder a la solicitud en 
un plazo de tiempo determinado. 


(135) A fin de garantizar la aplicacion coherente del presente Reglamento en toda la Union, debe establecerse un 
mecanismo de coherencia para la cooperation entre las autoridades de control. Este mecanismo debe aplicarse en 
particular cuando una autoridad de control prevea adoptar una medida dirigida a producir efectos juridicos en lo 
que se refiere a operaciones de tratamiento que afecten sustancialmente a un numero significativo de interesados 
en varios Estados miembros. Tambien debe aplicarse cuando cualquier autoridad de control interesada o la 
Comision soliciten que dicho asunto se trate al amparo del mecanismo de coherencia. Dicho mecanismo debe 
entenderse sin perjuicio de cualesquiera medidas que la Comision pueda adoptar en el ejercicio de sus poderes 
con arreglo a los Tratados. 


(136) En aplicacion del mecanismo de coherencia, el Comite debe, en un plazo determinado, emitir un dictamen, si asi 
lo decide una mayoria de sus miembros o si asi lo solicita cualquier autoridad de control interesada o la 
Comision. El Comite tambien debe estar facultado para adoptar decisiones juridicamente vinculantes en caso de 
diferencias entre autoridades de control. A tal efecto debe dictar, en principio por mayoria de dos tercios de sus 
miembros, decisiones juridicamente vinculantes en casos claramente especificados en los que exista conflicto de 
opiniones entre las autoridades de control, en particular en el mecanismo de cooperation entre la autoridad de 
control principal y las autoridades de control interesadas sobre el fondo del asunto, especialmente en caso de 
infraction del presente Reglamento. 


(137) La necesidad urgente de actuar puede obedecer a la necesidad de proteger los derechos y libertades de los 
interesados, en particular cuando exista el riesgo de que pueda verse considerablemente obstaculizado el reconoci- 
miento de alguno de sus derechos. Por lo tanto, una autoridad de control debe poder adoptar en su territorio 
medidas provisionales, debidamente justificadas, con un plazo de validez determinado no superior a tres meses. 


(138) La aplicacion de tal mecanismo debe ser una condition para la licitud de una medida de una autoridad de control 
destinada a producir efectos juridicos, en aquellos casos en los que su aplicacion sea obligatoria. En otros casos 
de relevancia transfronteriza, la autoridad de control principal y las autoridades de control interesadas deben 
aplicar entre si el mecanismo de cooperation, y las autoridades de control interesadas pueden prestarse asistencia 
mutua y realizar entre si operaciones conjuntas, sobre una base bilateral o multilateral, sin tener que aplicarlo. 


(139) A fin de fomentar la aplicacion coherente del presente Reglamento, el Comite debe constituirse como organismo 
independiente de la Union. Para cumplir sus objetivos, el Comite debe tener personalidad juridica. Su presidente 
debe ostentar su representation. El Comite debe sustituir al Grupo de protection de las personas en lo que 
respecta al tratamiento de datos personales creado por la Directiva 95/46/CE. Debe estar compuesto por el 
director de una autoridad de control de cada Estado miembro y el Supervisor Europeo de Protection de Datos, o 
por sus respectivos representantes. La Comision debe participar en las actividades del Comite sin derecho a voto 
y se deben reconocer derechos de voto especificos al Supervisor Europeo de Protection de Datos. El Comite debe 
contribuir a la aplicacion coherente del presente Reglamento en toda la Union, entre otras cosas asesorando a la 
Comision, en particular sobre el nivel de protection en terceros pafses u organizaciones internacionales, y 
fomentando la cooperation de las autoridades de control en toda la Union. El Comite debe actuar con indepen¬ 
dence en el cumplimiento de sus funciones. 


(140) El Comite debe contar con una secretaria, a cargo el Supervisor Europeo de Protection de Datos. El personal del 
Supervisor Europeo de Protection de Datos que participe en la realization de las funciones conferidas al Comite 
por el presente Reglamento debe desempenar sus funciones siguiendo exclusivamente las instrucciones del 
presidente del Comite y responder ante el. 


(141) Todo interesado debe tener derecho a presentar una reclamation ante una autoridad de control unica, en 
particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad 



L 119/26 




Diario Oficial de la Union Europea 


4.5.2016 


con el arti'culo 47 de la Carta si considera que se vulneran sus derechos con arreglo al presente Reglamento o en 
caso de que la autoridad de control no responda a una reclamacion, rechace o desestime total o parcialmente una 
reclamacion o no actue cuando sea necesario para proteger los derechos del interesado. La investigacion a rafz de 
una reclamacion debe llevarse a cabo, bajo control judicial, si procede en el caso concreto. La autoridad de 
control debe informar al interesado de la evolution y el resultado de la reclamacion en un plazo razonable. Si el 
asunto requiere una mayor investigacion o coordination con otra autoridad de control, se debe facilitar 
information intermedia al interesado. Para facilitar la presentation de reclamaciones, cada autoridad de control 
debe adoptar medidas como el suministro de un formulario de reclamaciones, que pueda cumplimentarse 
tambien por medios electronicos, sin excluir otros medios de comunicacion. 


(142) El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a 
conferir mandato a una entidad, organization o asociacion sin animo de lucro que este constituida con arreglo al 
Derecho de un Estado miembro, tenga objetivos estatutarios que sean de interes publico y actue en el ambito de 
la protection de los datos personales, para que presente en su nombre una reclamacion ante la autoridad de 
control, ejerza el derecho a la tutela judicial en nombre de los interesados o, si asi lo establece el Derecho del 
Estado miembro, ejerza el derecho a recibir una indemnizacion en nombre de estos. Un Estado miembro puede 
reconocer a tal entidad, organization o asociacion el derecho a presentar en el una reclamacion con indepen- 
dencia del mandato de un interesado y el derecho a la tutela judicial efectiva, cuando existan motivos para creer 
que se han vulnerado los derechos de un interesado como consecuencia de un tratamiento de datos personales 
que sea contrario al presente Reglamento. Esa entidad, organization o asociacion no puede estar autorizada a 
reclamar una indemnizacion en nombre de un interesado al margen del mandato de este ultimo. 


(143) Toda persona fisica o juridica tiene derecho a interponer ante el Tribunal de Justicia recurso de anulacion de 
decisiones del Comite, en las condiciones establecidas en el arti'culo 263 del TFUE. Como destinatarias de dichas 
decisiones, las autoridades de control interesadas que quieran impugnarlas tienen que interponer recurso en el 
plazo de dos meses a partir del momento en que les fueron notificadas, de conformidad con el arti'culo 263 
del TFUE. En caso de que las decisiones del Comite afecten directa e individualmente a un responsable, un 
encargado o al reclamante, estos pueden interponer recurso de anulacion de dichas decisiones en el plazo de dos 
meses a partir de su publication en el sitio web del Comite, de conformidad con el arti'culo 263 del TFUE. Sin 
perjuicio de lo dispuesto en el arti'culo 263 del TFUE, toda persona fisica o juridica debe tener derecho a la tutela 
judicial efectiva ante el tribunal nacional competente contra las decisiones de una autoridad de control que 
produzcan efectos juridicos que le afecten. Tales decisiones se refieren en particular al ejercicio de los poderes de 
investigacion, correction y autorizacion por parte de la autoridad de control o a la desestimacion o rechazo de 
reclamaciones. No obstante, el derecho a la tutela judicial efectiva no incluye medidas adoptadas por las 
autoridades de control que no sean juridicamente vinculantes, como los dictamenes publicados o el asesoramiento 
facilitado por ellas. Las acciones contra una autoridad de control deben ejercitarse ante los tribunales del Estado 
miembro en el que este establecida y tramitarse con arreglo al Derecho procesal de dicho Estado miembro. 
Dichos tribunales deben tener plena jurisdiction, incluida la competencia para examinar todos los elementos de 
hecho y de Derecho relativos a la causa de la que conozcan. 


Si una autoridad de control rechaza o desestima una reclamacion, el reclamante puede ejercitar una action ante 
los tribunales del mismo Estado miembro. En el contexto de las acciones judiciales relacionadas con la aplicacion 
del presente Reglamento, los tribunales nacionales que estimen necesaria una decision al respecto para poder 
emitir su fallo pueden, o en el caso establecido en el arti'culo 267 del TFUE, deben solicitar al Tribunal de Justicia 
que se pronuncie con caracter prejudicial sobre la interpretation del Derecho de la Union, incluido el presente 
Reglamento. Ademas, si una decision de una autoridad de control por la que se ejecuta una decision del Comite 
se impugna ante un tribunal nacional y se cuestiona la validez de la decision del Comite, dicho tribunal nacional 
no es competente para declarar invalida la decision del Comite, sino que, si la considera invalida, tiene que 
remitir la cuestion de la validez al Tribunal de Justicia de conformidad con el arti'culo 267 del TFUE, segun la 
interpretation de este. No obstante, un tribunal nacional puede no remitir la cuestion de la validez de la decision 
del Comite a instancia de una persona fisica o juridica que, habiendo tenido la oportunidad de interponer recurso 
de anulacion de dicha decision, en particular si dicha decision la afectaba directa e individualmente, no lo hizo en 
el plazo establecido en el arti'culo 263 del TFUE. 


(144) Si un tribunal ante el cual se ejercitaron acciones contra una decision de una autoridad de control tiene motivos 
para creer que se ejercitaron acciones ante un tribunal competente de otro Estado miembro relativas al mismo 
tratamiento, como tener el mismo asunto con respecto a un tratamiento por el mismo responsable o encargado, 
o la misma causa de la action, debe ponerse en contacto con ese tribunal para confirmar la existencia de tales 
acciones conexas. Si dichas acciones conexas estan pendientes ante un tribunal de otro Estado miembro, 
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cualquier otro tribunal distinto de aquel ante el cual se ejercito la accion en primer lugar puede suspender el 
procedimiento o, a instancia de una de las partes, inhibirse a favor del tribunal ante el cual se ejercito la accion 
en primer lugar si este ultimo es competente para su conocimiento y su acumulacion es conforme a Derecho. Se 
consideran conexas las acciones vinculadas entre si por una relation tan estrecha que procede tramitarlas y 
resolverlas conjuntamente a fin de evitar resoluciones que podrian ser incompatibles si se sustanciaran como 
causas separadas. 


(145) Por lo que respecta a las acciones contra los responsables o encargados del tratamiento, el reclamante debe tener 
la option de ejercitarlas ante los tribunales de los Estados miembros en los que el responsable o el encargado 
tenga un establecimiento o resida el interesado, a menos que el responsable sea una autoridad publica de un 
Estado miembro que actue en el ejercicio de poderes publicos. 


(146) El responsable o el encargado del tratamiento debe indemnizar cualesquiera danos y perjuicios que pueda sufrir 
una persona como consecuencia de un tratamiento en infraccion del presente Reglamento. El responsable o el 
encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los 
danos y perjuicios. El concepto de danos y perjuicios debe interpretarse en sentido amplio a la luz de la jurispru¬ 
dence del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo 
anterior se entiende sin perjuicio de cualquier reclamation por danos y perjuicios derivada de la vulneracion de 
otras normas del Derecho de la Union o de los Estados miembros. Un tratamiento en infraccion del presente 
Reglamento tambien incluye aquel tratamiento que infringe actos delegados y de ejecucion adoptados de 
conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del 
presente Reglamento. Los interesados deben recibir una indemnizacion total y efectiva por los danos y perjuicios 
sufridos. Si los responsables o encargados participan en el mismo tratamiento, cada responsable o encargado 
debe ser considerado responsable de la totalidad de los danos y perjuicios. No obstante, si se acumulan en la 
misma causa de conformidad con el Derecho de los Estados miembros, la indemnizacion puede prorratearse en 
funcion de la responsabilidad de cada responsable o encargado por los danos y perjuicios causados por el 
tratamiento, siempre que se garantice la indemnizacion total y efectiva del interesado que sufrio los danos y 
perjuicios. Todo responsable o encargado que haya abonado la totalidad de la indemnizacion puede interponer 
recurso posteriormente contra otros responsables o encargados que hayan participado en el mismo tratamiento. 


(147) En los casos en que el presente Reglamento contiene normas especfficas sobre competencia judicial, en particular 
por lo que respecta a las acciones que tratan de obtener satisfaction por la via judicial, incluida la indemnizacion, 
contra un responsable o encargado del tratamiento, las normas generates de competencia judicial como las 
establecidas en el Reglamento (UE) n.° 1215/2012 del Parlamento Europeo y del Consejo (') deben entenderse sin 
perjuicio de la aplicacion de dichas normas especfficas. 


(148) A fin de reforzar la aplicacion de las normas del presente Reglamento, cualquier infraccion de este debe ser 
castigada con sanciones, incluidas multas administrativas, con caracter adicional a medidas adecuadas impuestas 
por la autoridad de control en virtud del presente Reglamento, o en sustitucion de estas. En caso de infraccion 
leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona 
ffsica, en lugar de sancion mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse 
especial atencion a la naturaleza, gravedad y duration de la infraccion, a su caracter intencional, a las medidas 
tomadas para paliar los danos y perjuicios sufridos, al grado de responsabilidad o a cualquier infraccion anterior 
pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infraccion, al cumplimiento 
de medidas ordenadas contra el responsable o encargado, a la adhesion a codigos de conducta y a cualquier otra 
circunstancia agravante o atenuante. La imposition de sanciones, incluidas las multas administrativas, debe estar 
sujeta a garantfas procesales suficientes conforme a los principios generales del Derecho de la Union y de la 
Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantfas. 


(149) Los Estados miembros deben tener la posibilidad de establecer normas en materia de sanciones penales por 
infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a el 
y dentro de sus lfmites. Dichas sanciones penales pueden asimismo autorizar la privation de los beneficios 
obtenidos en infraccion del presente Reglamento. No obstante, la imposition de sanciones penales por 
infracciones de dichas normas nacionales y de sanciones administrativas no debe entranar la vulneracion del 
principio ne bis in idem, segun la interpretation del Tribunal de Justicia. 


(150) A fin de reforzar y armonizar las sanciones administrativas por infraccion del presente Reglamento, cada 
autoridad de control debe estar facultada para imponer multas administrativas. El presente Reglamento debe 


(') Reglamento (UE) n.° 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el 
reconocimientoy la ejecucion de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1). 
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indicar las infracciones asi como el limite maximo y los criterios para fijar las correspondientes multas adminis- 
trativas, que la autoridad de control competente debe determinar en cada caso individual teniendo en cuenta 
todas las circunstancias concurrentes en el, atendiendo en particular a la naturaleza, gravedad y duration de la 
infraction y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones 
impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infraction. Si las multas 
administrativas se imponen a una empresa, por tal debe entenderse una empresa con arreglo a los articulos 101 
y 102 del TFUE. Si las multas administrativas se imponen a personas que no son una empresa, la autoridad de 
control debe tener en cuenta al valorar la cuantia apropiada de la multa el nivel general de ingresos prevaleciente 
en el Estado miembro asi como la situation economica de la persona. El mecanismo de coherencia tambien 
puede emplearse para fomentar una aplicacion coherente de las multas administrativas. Debe corresponder a los 
Estados miembros determinar si y en que medida se debe imponer multas administrativas a las autoridades 
publicas. La imposition de una multa administrativa o de una advertencia no afecta al ejercicio de otras 
competencias de las autoridades de control ni a la aplicacion de otras sanciones al amparo del presente 
Reglamento. 


(151) Los ordenamientos juridicos de Dinamarca y Estonia no permiten las multas administrativas segun lo dispuesto 
en el presente Reglamento. Las normas sobre multas administrativas pueden ser aplicadas en Dinamarca de tal 
manera que la multa sea impuesta por los tribunales nacionales competentes en cuanto sancion penal, y en 
Estonia de tal manera que la multa sea impuesta por la autoridad de control en el marco de un juicio de faltas, 
siempre que tal aplicacion de las normas en dichos Estados miembros tenga un efecto equivalente a las multas 
administrativas impuestas por las autoridades de control. Por lo tanto los tribunales nacionales competentes 
deben tener en cuenta la recomendacion de la autoridad de control que incoe la multa. En todo caso, las multas 
impuestas deben ser efectivas, proporcionadas y disuasorias. 


(152) En los casos en que el presente Reglamento no armoniza las sanciones administrativas, o en otros casos en que se 
requiera, por ejemplo en casos de infracciones graves del presente Reglamento, los Estados miembros deben 
aplicar un sistema que establezca sanciones efectivas, proporcionadas y disuasorias. La naturaleza de dichas 
sanciones, ya sea penal o administrativa, debe ser determinada por el Derecho de los Estados miembros. 


(15 3) El Derecho de los Estados miembros debe conciliar las normas que rigen la libertad de expresion e information, 
incluida la expresion periodistica, academica, artistica o literaria, con el derecho a la protection de los datos 
personales con arreglo al presente Reglamento. El tratamiento de datos personales con fines exclusivamente 
periodisticos o con fines de expresion academica, artistica o literaria debe estar sujeto a excepciones o exenciones 
de determinadas disposiciones del presente Reglamento si asi se requiere para conciliar el derecho a la protection 
de los datos personales con el derecho a la libertad de expresion y de information consagrado en el articulo 11 
de la Carta. Esto debe aplicarse en particular al tratamiento de datos personales en el ambito audiovisual y en los 
archivos de noticias y hemerotecas. Por tanto, los Estados miembros deben adoptar medidas legislativas que 
establezcan las exenciones y excepciones necesarias para equilibrar estos derechos fundamentales. Los Estados 
miembros deben adoptar tales exenciones y excepciones con relation a los principios generales, los derechos del 
interesado, el responsable y el encargado del tratamiento, la transferencia de datos personales a terceros paises u 
organizaciones internacionales, las autoridades de control independientes, la cooperation y la coherencia, y las 
situaciones especificas de tratamiento de datos. Si dichas exenciones o excepciones difieren de un Estado 
miembro a otro debe regir el Derecho del Estado miembro que sea aplicable al responsable del tratamiento. A fin 
de tener presente la importancia del derecho a la libertad de expresion en toda sociedad democratica, es necesario 
que nociones relativas a dicha libertad, como el periodismo, se interpreten en sentido amplio. 


(154) El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el principio de acceso del publico a los 
documentos oficiales. El acceso del publico a documentos oficiales puede considerarse de interes publico. Los 
datos personales de documentos que se encuentren en poder de una autoridad publica o un organismo publico 
deben poder ser comunicados publicamente por dicha autoridad u organismo si asi lo establece el Derecho de la 
Union o los Estados miembros aplicable a dicha autoridad u organismo. Ambos Derechos deben conciliar el 
acceso del publico a documentos oficiales y la reutilizacion de la information del sector publico con el derecho a 
la protection de los datos personales y, por tanto, pueden establecer la necesaria conciliation con el derecho a la 
protection de los datos personales de conformidad con el presente Reglamento. La referencia a autoridades y 
organismos publicos debe incluir, en este contexto, a todas las autoridades u otros organismos a los que se aplica 
el Derecho de los Estados miembros sobre el acceso del publico a documentos. La Directiva 2003/98/CE del 
Parlamento Europeo y del Consejo (') no altera ni afecta en modo alguno al nivel de protection de las personas 


(') Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilizacion de la information 
del sector publico (DO L 345 de 31.12.2003, p. 90). 
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fisicas con respecto al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Union y 
los Estados miembros y, en particular, no altera las obligaciones ni los derechos establecidos en el presente 
Reglamento. En concreto, dicha Directiva no debe aplicarse a los documentos a los que no pueda accederse o 
cuyo acceso este limitado en virtud de regimenes de acceso por motivos de protection de datos personales, ni a 
partes de documentos accesibles en virtud de dichos regimenes que contengan datos personales cuya reutilizacion 
haya quedado establecida por ley como incompatible con el Derecho relativo a la protection de las personas 
fisicas con respecto al tratamiento de los datos personales. 


(15 5) El Derecho de los Estados miembros o los convenios colectivos, incluidos los «convenios de empresa», pueden 
establecer normas especificas relativas al tratamiento de datos personales de los trabajadores en el ambito laboral, 
en particular en relation con las condiciones en las que los datos personales en el contexto laboral pueden ser 
objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratacion, la ejecucion 
del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, 
la gestion, planificacion y organization del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y 
seguridad en el trabajo, asi como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y 
prestaciones relacionados con el empleo y a efectos de la rescision de la relation laboral. 


(156) El tratamiento de datos personales con fines de archivo en interes publico, fines de investigation cientifica o 
historica o fines estadisticos debe estar supeditado a unas garantias adecuadas para los derechos y libertades del 
interesado de conformidad con el presente Reglamento. Esas garantias deben asegurar que se aplican medidas 
tecnicas y organizativas para que se observe, en particular, el principio de minimization de los datos. El 
tratamiento ulterior de datos personales con fines de archivo en interes publico, fines de investigation cientifica o 
historica o fines estadisticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de 
cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo 
permita, siempre que existan las garantias adecuadas (como, por ejemplo, la seudonimizacion de datos). Los 
Estados miembros deben establecer garantias adecuadas para el tratamiento de datos personales con fines de 
archivo en interes publico, fines de investigation cientifica o historica o fines estadisticos. Debe autorizarse que 
los Estados miembros establezcan, bajo condiciones especificas y a reserva de garantias adecuadas para los 
interesados, especificaciones y excepciones con respecto a los requisitos de information y los derechos de rectifi¬ 
cation, de supresion, al olvido, de limitation del tratamiento, a la portabilidad de los datos y de oposicion, 
cuando se traten datos personales con fines de archivo en interes publico, fines de investigation cientifica e 
historica o fines estadisticos. Las condiciones y garantias en cuestion pueden conllevar procedimientos especificos 
para que los interesados ejerzan dichos derechos si resulta adecuado a la luz de los fines perseguidos por el 
tratamiento especifico, junto con las medidas tecnicas y organizativas destinadas a minimizar el tratamiento de 
datos personales atendiendo a los principios de proporcionalidad y necesidad. El tratamiento de datos personales 
con fines cientificos tambien debe observar otras normas pertinentes, como las relativas a los ensayos clinicos. 


(15 7) Combinando information procedente de registros, los investigadores pueden obtener nuevos conocimientos de 
gran valor sobre condiciones medicas extendidas, como las enfermedades cardiovasculares, el cancer y la 
depresion. Partiendo de registros, los resultados de las investigaciones pueden ser mas solidos, ya que se basan en 
una poblacion mayor. Dentro de las ciencias sociales, la investigation basada en registros permite que los investi¬ 
gadores obtengan conocimientos esenciales acerca de la correlation a largo plazo, con otras condiciones de vida, 
de diversas condiciones sociales, como el desempleo y la education. Los resultados de investigaciones obtenidos 
de registros proporcionan conocimientos solidos y de alta calidad que pueden servir de base para la conception y 
ejecucion de politicas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la 
eficiencia de los servicios sociales. Para facilitar la investigation cientifica, los datos personales pueden tratarse 
con fines cientificos, a reserva de condiciones y garantias adecuadas establecidas en el Derecho de la Union o de 
los Estados miembros. 


(158) El presente Reglamento tambien debe aplicarse al tratamiento de datos personales realizado con fines de archivo, 
teniendo presente que no debe se de aplicacion a personas fallecidas. Las autoridades publicas o los organismos 
publicos o privados que llevan registros de interes publico deben ser servicios que estan obligados, con arreglo al 
Derecho de la Union o de los Estados miembros, a adquirir, mantener, evaluar, organizar, describir, comunicar, 
promover y difundir registros de valor perdurable para el interes publico general y facilitar acceso a ellos. Los 
Estados miembros tambien debe estar autorizados a establecer el tratamiento ulterior de datos personales con 
fines de archivo, por ejemplo a fin de ofrecer information especifica relacionada con el comportamiento politico 
bajo antiguos regimenes de Estados totalitarios, el genocidio, los crimenes contra la humanidad, en particular el 
Holocausto, o los crimenes de guerra. 
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(159) El presente Reglamento tambien debe aplicarse al tratamiento datos personales que se realice con fines de investi¬ 
gation cientifica. El tratamiento de datos personales con fines de investigation cientifica debe interpretarse, a 
efectos del presente Reglamento, de manera amplia, que incluya, por ejemplo, el desarrollo tecnologico y la 
demostracion, la investigation fundamental, la investigation aplicada y la investigation financiada por el sector 
privado. Ademas, debe tener en cuenta el objetivo de la Union establecido en el articulo 179, apartado 1, 
del TFUE de realizar un espacio europeo de investigation. Entre los fines de investigation cientifica tambien se 
deben incluir los estudios realizados en interes publico en el ambito de la salud publica. Para cumplir las especifi- 
cidades del tratamiento de datos personales con fines de investigation cientifica deben aplicarse condiciones 
especificas, en particular en lo que se refiere a la publication o la comunicacion de otro modo de datos 
personales en el contexto de fines de investigation cientifica. Si el resultado de la investigation cientifica, en 
particular en el ambito de la salud, justifica otras medidas en beneficio del interesado, las normas generales del 
presente Reglamento deben aplicarse teniendo en cuenta tales medidas. 


(160) El presente Reglamento debe aplicarse asimismo al tratamiento datos personales que se realiza con fines de 
investigation historica. Esto incluye asimismo la investigation historica y la investigation para fines genealogicos, 
teniendo en cuenta que el presente Reglamento no es de aplicacion a personas fallecidas. 


(161) Al objeto de otorgar el consentimiento para la participation en actividades de investigation cientifica en ensayos 
clinicos, deben aplicarse las disposiciones pertinentes del Reglamento (UE) n.° 536/2014 del Parlamento Europeo 
y del Consejo ('). 


(162) El presente Reglamento debe aplicarse al tratamiento de datos personales con fines estadisticos. El contenido 
estadistico, el control de accesos, las especificaciones para el tratamiento de datos personales con fines 
estadisticos y las medidas adecuadas para salvaguardar los derechos y las libertades de los interesados y garantizar 
la confidencialidad estadistica deben ser establecidos, dentro de los limites del presente Reglamento, por el 
Derecho de la Union o de los Estados miembros. Por fines estadisticos se entiende cualquier operation de 
recogida y tratamiento de datos personales necesarios para encuestas estadisticas o para la production de 
resultados estadisticos. Estos resultados estadisticos pueden ademas utilizarse con diferentes fines, incluidos fines 
de investigation cientifica. El fin estadistico implica que el resultado del tratamiento con fines estadisticos no sean 
datos personales, sino datos agregados, y que este resultado o los datos personales no se utilicen para respaldar 
medidas o decisiones relativas a personas fisicas concretas. 


(163) Debe protegerse la information confidencial que las autoridades estadisticas de la Union y nacionales recojan 
para la elaboration de las estadisticas oficiales europeas y nacionales. Las estadisticas europeas deben desarro- 
llarse, elaborarse y difundirse con arreglo a los principios estadisticos fijados en el articulo 338, apartado 2, 
del TFUE, mientras que las estadisticas nacionales deben cumplir asimismo el Derecho de los Estados miembros. 
El Reglamento (CE) n.° 223/2009 del Parlamento Europeo y del Consejo ( 2 ) facilita especificaciones adicionales 
sobre la confidencialidad estadistica aplicada a las estadisticas europeas. 


(164) Por lo que respecta a los poderes de las autoridades de control para obtener del responsable o del encargado del 
tratamiento acceso a los datos personales y a sus locales, los Estados miembros pueden adoptar por ley, dentro de 
los limites fijados por el presente Reglamento, normas especificas con vistas a salvaguardar el deber de secreto 
profesional u obligaciones equivalentes, en la medida necesaria para conciliar el derecho a la protection de los 
datos personales con el deber de secreto profesional. Lo anterior se entiende sin perjuicio de las obligaciones 
existentes para los Estados miembros de adoptar normas sobre el secreto profesional cuando asi lo exija el 
Derecho de la Union. 


(165) El presente Reglamento respeta y no prejuzga el estatuto reconocido en los Estados miembros, en virtud del 
Derecho constitucional, a las iglesias y las asociaciones o comunidades religiosas, tal como se reconoce en el 
articulo 17 del TFUE. 


(166) A fin de cumplir los objetivos del presente Reglamento, a saber, proteger los derechos y las libertades 
fundamentales de las personas fisicas y, en particular, su derecho a la protection de los datos personales, y 


0 Reglamento (UE) n.° 536/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014, sobre los ensayos clinicos de 
medicamentos deuso humano, y por el que se derogala Directiva 2001/20/CE (DO L 158 de 27.5.2014, p. 1). 

( 2 ) Reglamento (CE) n.° 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadistica europea y por el 
que se deroga el Reglamento (CE, Euratom) n.° 1101/2008 relativo a la transmision a la Oficina Estadistica de las Comunidades Europeas 
de las informaciones amparadas por el secreto estadistico, el Reglamento (CE) n.° 322/97 del Consejo sobre la estadistica comunitariay la 
Decision 89/382/CEE, Euratom del Consejo por la que se crea un Comite del programa estadistico de las Comunidades Europeas 
(DO L 87 de 31.3.2009, p. 164). 
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garantizar la libre circulation de los datos personales en la Union, debe delegarse en la Comision el poder de 
adoptar actos de conformidad con el articulo 290 del TFUE. En particular, deben adoptarse actos delegados en 
relation con los criterios y requisitos para los mecanismos de certification, la information que debe presentarse 
mediante iconos normalizados y los procedimientos para proporcionar dichos iconos. Reviste especial 
importancia que la Comision lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con 
expertos. Al preparar y redactar los actos delegados, la Comision debe garantizar la transmision simultanea, 
oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo. 


(167) A fin de garantizar condiciones uniformes de ejecucion del presente Reglamento, deben conferirse a la Comision 
competencias de ejecucion cuando asi lo establezca el presente Reglamento. Dichas competencias deben ejercerse 
de conformidad con el Reglamento (UE) n.° 182/2011 del Parlamento Europeo y del Consejo. En este contexto, la 
Comision debe considerar la adoption de medidas especificas para las microempresas y las pequenas y medianas 
empresas. 


(168) El procedimiento de examen debe seguirse para la adoption de actos de ejecucion sobre clausulas contractuales 
tipo entre responsables y encargados del tratamiento y entre responsables del tratamiento; codigos de conducta; 
normas tecnicas y mecanismos de certification; el nivel adecuado de protection ofrecido por un tercer pais, un 
territorio o un sector especffico en ese tercer pais, o una organization international; clausulas tipo de protection; 
formatos y procedimientos para el intercambio de information entre responsables, encargados y autoridades de 
control respecto de normas corporativas vinculantes; asistencia mutua; y modalidades de intercambio de 
information por medios electronicos entre las autoridades de control, y entre las autoridades de control y el 
Comite. 


(169) La Comision debe adoptar actos de ejecucion inmediatamente aplicables cuando las pruebas disponibles muestren 
que un tercer pais, un territorio o un sector especffico en ese tercer pat's, o una organization internacional no 
garantizan un nivel de protection adecuado y asf lo requieran razones imperiosas de urgencia. 


(170) Dado que el objetivo del presente Reglamento, a saber, garantizar un nivel equivalente de protection de las 
personas ffsicas y la libre circulation de datos personales en la Union Europea, no puede ser alcanzado de manera 
suficiente por los Estados miembros, sino que, debido a las dimensiones o los efectos de la action, puede lograrse 
mejor a escala de la Union, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido 
en el articulo 5 del Tratado de la Union Europea (TUE). De conformidad con el principio de proporcionalidad 
establecido en el mismo articulo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo. 


(171) La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de 
aplicacion del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos anos a partir de la 
fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la 
Directiva 95/46/CE, no es necesario que el interesado de su consentimiento de nuevo si la forma en que se dio el 
consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar 
dicho tratamiento tras la fecha de aplicacion del presente Reglamento. Las decisiones de la Comision y las autori- 
zaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean 
modificadas, sustituidas o derogadas. 


(172) De conformidad con el articulo 28, apartado 2, del Reglamento (CE) n.° 45/2001, se consulto al Supervisor 
Europeo de Protection de Datos, y este emitio su dictamen el 7 de marzo de 2012 (’). 


(173) El presente Reglamento debe aplicarse a todas las cuestiones relativas a la protection de los derechos y las 
libertades fundamentales en relation con el tratamiento de datos personales que no estan sujetas a obligaciones 
especificas con el mismo objetivo establecidas en la Directiva 2002/58/CE del Parlamento Europeo y del 
Consejo ( 2 ), incluidas las obligaciones del responsable del tratamiento y los derechos de las personas ffsicas. Para 
aclarar la relation entre el presente Reglamento y la Directiva 2002/58/CE, esta ultima debe ser modificada en 
consecuencia. Una vez que se adopte el presente Reglamento, debe revisarse la Directiva 2002/58/CE, en 
particular con objeto de garantizar la coherencia con el presente Reglamento. 


(’) DO C 192 de 30.6.2012, p. 7. 

( 2 ) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la 
protection de la intimidad en el sector de las comunicaciones electronicas (Directiva sobre la privacidad y las comunicaciones 
electronicas) (DO L 201 de 31.7.2002, p. 37). 
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HAN ADOPTADO EL PRESENTE REGLAMENTO: 


CAPITULO I 

Disposiciones generates 


Articulo 1 


Objeto 


1. El presente Reglamento establece las normas relativas a la proteccion de las personas fisicas en lo que respecta al 
tratamiento de los datos personales y las normas relativas a la libre circulacion de tales datos. 


2. El presente Reglamento protege los derechos y libertades fundamentales de las personas fisicas y, en particular, su 
derecho a la proteccion de los datos personales. 

3. La libre circulacion de los datos personales en la Union no podra ser restringida ni prohibida por motivos 
relacionados con la proteccion de las personas fisicas en lo que respecta al tratamiento de datos personales. 


Articulo 2 


Ambito de aplicacion material 


1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, asi como al 
tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 

2. El presente Reglamento no se aplica al tratamiento de datos personales: 

a) en el ejercicio de una actividad no comprendida en el ambito de aplicacion del Derecho de la Union: 

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ambito de aplicacion del 
capitulo 2 del titulo V del TUE; 

c) efectuado por una persona fisica en el ejercicio de actividades exclusivamente personales o domesticas; 

d) por parte de las autoridades competentes con fines de prevencion, investigacion, deteccion o enjuiciamiento de 
infracciones penales, o de ejecucion de sanciones penales, incluida la de proteccion frente a amenazas a la seguridad 
publica y su prevencion. 

3. El Reglamento (CE) n.° 45/2001 es de aplicacion al tratamiento de datos de caracter personal por parte de las 
instituciones, organos y organismos de la Union. El Reglamento (CE) n.° 45/2001 y otros actos juridicos de la Union 
aplicables a dicho tratamiento de datos de caracter personal se adaptaran a los principios y normas del presente 
Reglamento de conformidad con su articulo 98. 


4. El presente Reglamento se entendera sin perjuicio de la aplicacion de la Directiva 2000/31 /CE, en particular sus 
normas relativas a la responsabilidad de los prestadores de servicios intermediaries establecidas en sus articulos 12 a 15. 


Articulo 3 


Ambito territorial 


1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un estable- 
cimiento del responsable o del encargado en la Union, independientemente de que el tratamiento tenga lugar en la 
Union o no. 
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2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Union por 
parte de un responsable o encargado no establecido en la Union, cuando las actividades de tratamiento esten 
relacionadas con: 


a) la oferta de bienes o servicios a dichos interesados en la Union, independientemente de si a estos se les requiere su 
pago, o 


b) el control de su comportamiento, en la medida en que este tenga lugar en la Union. 

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no este 
establecido en la Union sino en un lugar en que el Derecho de los Estados miembros sea de aplicacion en virtud del 
Derecho internacional publico. 


Articulo 4 


Definiciones 


A efectos del presente Reglamento se entendera por: 

1) «datos personales*: toda informacion sobre una persona fisica identificada o identificable («el interesado*); se 
considerara persona fisica identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, 
en particular mediante un identificador, como por ejemplo un nombre, un numero de identification, datos de 
localization, un identificador en linea o uno o varios elementos propios de la identidad fisica, fisiologica, genetica, 
psiquica, economica, cultural o social de dicha persona; 

2) «tratamiento»: cualquier operation o conjunto de operaciones realizadas sobre datos personales o conjuntos de 
datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organization, estructu- 
racion, conservation, adaptation o modification, extraction, consulta, utilization, comunicacion por transmision, 
difusion o cualquier otra forma de habitation de acceso, cotejo o interconexion, limitation, supresion o 
destruction: 

3) limitation del tratamiento*: el marcado de los datos de caracter personal conservados con el fin de limitar su 
tratamiento en el futuro: 

4) «elaboracion de perfiles*: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos 
personales para evaluar determinados aspectos personales de una persona fisica, en particular para analizar o 
predecir aspectos relativos al rendimiento profesional, situation economica, salud, preferencias personales, intereses, 
fiabilidad, comportamiento, ubicacion o movimientos de dicha persona fisica; 

5) «seudonimizaci6n»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado 
sin utilizar informacion adicional, siempre que dicha informacion adicional figure por separado y este sujeta a 
medidas tecnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona 
fisica identificada o identificable; 

6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea 
centralizado, descentralizado o repartido de forma funcional o geografica; 

7) «responsable del tratamiento* o «responsable»: la persona fisica o juridica, autoridad publica, servicio u otro 
organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Union o de 
los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios 
especificos para su nombramiento podra establecerlos el Derecho de la Union o de los Estados miembros; 

8) «encargado del tratamiento* o «encargado»: la persona fisica o juridica, autoridad publica, servicio u otro organismo 
que trate datos personales por cuenta del responsable del tratamiento; 

9) «destinatario»: la persona fisica o juridica, autoridad publica, servicio u otro organismo al que se comuniquen datos 
personales, se trate o no de un tercero. No obstante, no se consideraran destinatarios las autoridades publicas que 
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puedan recibir datos personales en el marco de una investigation concreta de conformidad con el Derecho de la 
Union o de los Estados miembros; el tratamiento de tales datos por dichas autoridades publicas sera conforme con 
las normas en materia de proteccion de datos aplicables a los fines del tratamiento; 


10) «tercero»: persona fisica o juridica, autoridad publica, servicio u organismo distinto del interesado, del responsable 
del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la 
autoridad directa del responsable o del encargado; 

11) «consentimiento del interesado*: toda manifestation de voluntad libre, especifica, informada e inequivoca por la que 
el interesado acepta, ya sea mediante una declaration o una clara action afirmativa, el tratamiento de datos 
personales que le conciernen; 

12) «violacion de la seguridad de los datos personales*: toda violation de la seguridad que ocasione la destruction, 
perdida o alteration accidental o ilicita de datos personales transmitidos, conservados o tratados de otra forma, o la 
comunicacion o acceso no autorizados a dichos datos; 

13) «datos geneticos*: datos personales relativos a las caracterfsticas geneticas heredadas o adquiridas de una persona 
fisica que proporcionen una information unica sobre la fisiologia o la salud de esa persona, obtenidos en particular 
del analisis de una muestra biologica de tal persona; 

14) «datos biometricos*: datos personales obtenidos a partir de un tratamiento tecnico especifico, relativos a las caracte¬ 
rfsticas fisicas, fisiologicas o conductuales de una persona fisica que permitan o confirmen la identification unica de 
dicha persona, como imagenes faciales o datos dactiloscopicos; 

15) «datos relativos a la salud*: datos personales relativos a la salud fisica o mental de una persona fisica, incluida la 
prestacion de servicios de atencion sanitaria, que revelen information sobre su estado de salud; 

16) «establecimiento principal*: 

a) en lo que se refiere a un responsable del tratamiento con establecimientos en mas de un Estado miembro, el 
lugar de su administration central en la Union, salvo que las decisiones sobre los fines y los medios del 
tratamiento se tomen en otro establecimiento del responsable en la Union y este ultimo establecimiento tenga el 
poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se 
considerara establecimiento principal; 

b) en lo que se refiere a un encargado del tratamiento con establecimientos en mas de un Estado miembro, el lugar 
de su administration central en la Union o, si careciera de esta, el establecimiento del encargado en la Union en 
el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un estableci¬ 
miento del encargado en la medida en que el encargado este sujeto a obligaciones especificas con arreglo al 
presente Reglamento; 

17) «representante»: persona fisica o juridica establecida en la Union que, habiendo sido designada por escrito por el 
responsable o el encargado del tratamiento con arreglo al articulo 27, represente al responsable o al encargado en 
lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento; 

18) «empresa»: persona fisica o juridica dedicada a una actividad economica, independientemente de su forma juridica, 
incluidas las sociedades o asociaciones que desempenen regularmente una actividad economica; 

19) «grupo empresarial*: grupo constituido por una empresa que ejerce el control y sus empresas controladas; 

20) «normas corporativas vinculantes*: las politicas de proteccion de datos personales asumidas por un responsable o 
encargado del tratamiento establecido en el territorio de un Estado miembro para transferences o un conjunto de 
transferencias de datos personales a un responsable o encargado en uno o mas paises terceros, dentro de un grupo 
empresarial o una union de empresas dedicadas a una actividad economica conjunta; 

21) «autoridad de control*: la autoridad publica independiente establecida por un Estado miembro con arreglo a lo 
dispuesto en el articulo 51; 
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22) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido 
a que: 

a) el responsable o el encargado del tratamiento esta establecido en el territorio del Estado miembro de esa 
autoridad de control; 

b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o 
es probable que se vean sustancialmente afectados por el tratamiento, o 

c) se ha presentado una reclamation ante esa autoridad de control: 

23) «tratamiento transfronterizo»: 

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en mas de un 
Estado miembro de un responsable o un encargado del tratamiento en la Union, si el responsable o el encargado 
esta establecido en mas de un Estado miembro, o 

b) el tratamiento de datos personales realizado en el contexto de las actividades de un unico establecimiento de un 
responsable o un encargado del tratamiento en la Union, pero que afecta sustancialmente o es probable que 
afecte sustancialmente a interesados en mas de un Estado miembro; 

24) «objecion pertinente y motivada»: la objecion a una propuesta de decision sobre la existencia o no de infraction del 
presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relation con el 
responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entrana el 
proyecto de decision para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre 
circulation de datos personales dentro de la Union; 

25) «servicio de la sociedad de la information#: todo servicio conforme a la definition del articulo 1, apartado 1, 
letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo ('); 

26) ((organization international#: una organization internacional y sus entes subordinados de Derecho internacional 
publico o cualquier otro organismo creado mediante un acuerdo entre dos o mas pafses o en virtud de tal acuerdo. 


CAPfTULO II 

Principios 

Articulo 5 

Principios relativos al tratamiento 

1. Los datos personales seran: 

a) tratados de manera lfcita, leal y transparente en relation con el interesado («licitud, lealtad y transparency#); 

b) recogidos con fines determinados, explicitos y legitimos, y no seran tratados ulteriormente de manera incompatible 
con dichos fines; de acuerdo con el articulo 89, apartado 1, el tratamiento ulterior de los datos personales con fines 
de archivo en interes publico, fines de investigation cientifica e historica o fines estadisticos no se considerara 
incompatible con los fines iniciales (((limitation de la finalidad#); 

c) adecuados, pertinentes y limitados a lo necesario en relation con los fines para los que son tratados (((minimization 
de datos#); 

d) exactos y, si fuera necesario, actualizados; se adoptaran todas las medidas razonables para que se supriman o 
rectifiquen sin dilation los datos personales que sean inexactos con respecto a los fines para los que se tratan 
(«exactitud»); 


(') Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento 
de information en materia de reglamentaciones tecnicas y de reglas relativas a los servicios de la sociedad de la information (DO L 241 
de 17.9.2015,p. 1). 
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e) mantenidos de forma que se permita la identification de los interesados durante no mas tiempo del necesario para 
los fines del tratamiento de los datos personales; los datos personales podran conservarse durante perfodos mas 
largos siempre que se traten exclusivamente con fines de archivo en interes publico, fines de investigation cientifica o 
historica o fines estadisticos, de conformidad con el articulo 89, apartado 1, sin perjuicio de la aplicacion de las 
medidas tecnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y 
libertades del interesado («limitacion del plazo de conservation*); 

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protection contra 
el tratamiento no autorizado o ilicito y contra su perdida, destruction o dano accidental, mediante la aplicacion de 
medidas tecnicas u organizativas apropiadas («integridad y confidencialidad*). 

2. El responsable del tratamiento sera responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de 
demostrarlo («responsabilidad proactiva*). 


Articulo 6 


Licitud del tratamiento 


1. El tratamiento solo sera li'cito si se cumple al menos una de las siguientes condiciones: 

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines especfficos; 

b) el tratamiento es necesario para la execution de un contrato en el que el interesado es parte o para la aplicacion a 
petition de este de medidas precontractuales; 

c) el tratamiento es necesario para el cumplimiento de una obligation legal aplicable al responsable del tratamiento; 

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona fisica; 

e) el tratamiento es necesario para el cumplimiento de una mision realizada en interes publico o en el ejercicio de 
poderes publicos conferidos al responsable del tratamiento; 

f) el tratamiento es necesario para la satisfaction de intereses legitimos perseguidos por el responsable del tratamiento o 
por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades 
fundamentales del interesado que requieran la protection de datos personales, en particular cuando el interesado sea 
un nino. 

Lo dispuesto en la letra f) del parrafo primero no sera de aplicacion al tratamiento realizado por las autoridades publicas 
en el ejercicio de sus funciones. 

2. Los Estados miembros podran mantener o introducir disposiciones mas especfficas a fin de adaptar la aplicacion de 
las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando 
de manera mas precisa requisites especfficos de tratamiento y otras medidas que garanticen un tratamiento lfcito y 
equitativo, con inclusion de otras situaciones especfficas de tratamiento a tenor del capftulo IX. 

3. La base del tratamiento indicado en el apartado 1, letras c) y e), debera ser establecida por: 

a) el Derecho de la Union, o 

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento. 

La finalidad del tratamiento debera quedar determinada en dicha base jurfdica o, en lo relativo al tratamiento a que se 
refiere el apartado 1, letra e), sera necesaria para el cumplimiento de una mision realizada en interes publico o en el 
ejercicio de poderes publicos conferidos al responsable del tratamiento. Dicha base jurfdica podra contener disposiciones 
especfficas para adaptar la aplicacion de normas del presente Reglamento, entre otras: las condiciones generales que 
rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados 
afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicacion; la limitation de 
la finalidad; los plazos de conservation de los datos, asf como las operaciones y los procedimientos del tratamiento, 
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incluidas las medidas para garantizar un tratamiento li'cito y equitativo, como las relativas a otras situaciones especfficas 
de tratamiento a tenor del capitulo IX. El Derecho de la Union o de los Estados miembros cumplira un objetivo de 
interes publico y sera proporcional al fin legitimo perseguido. 


4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no este basado 
en el consentimiento del interesado o en el Derecho de la Union o de los Estados miembros que constituya una medida 
necesaria y proporcional en una sociedad democratica para salvaguardar los objetivos indicados en el articulo 23, 
apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el 
fin para el cual se recogieron inicialmente los datos personales, tendra en cuenta, entre otras cosas: 

a) cualquier relacion entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento 
ulterior previsto; 

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relacion entre los 
interesados y el responsable del tratamiento; 

c) la naturaleza de los datos personales, en concreto cuando se traten categories especiales de datos personales, de 
conformidad con el articulo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el 
articulo 10; 

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto; 

e) la existencia de garantias adecuadas, que podran incluir el cifrado o la seudonimizacion. 


Articulo 7 

Condiciones para el consentimiento 

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable debera ser capaz de demostrar 
que aquel consintio el tratamiento de sus datos personales. 


2. Si el consentimiento del interesado se da en el contexto de una declaracion escrita que tambien se refiera a otros 
asuntos, la solicitud de consentimiento se presentara de tal forma que se distinga claramente de los demas asuntos, de 
forma inteligible y de facil acceso y utilizando un lenguaje claro y sencillo. No sera vinculante ninguna parte de la 
declaracion que constituya infraction del presente Reglamento. 


3. El interesado tendra derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no 
afectara a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el 
interesado sera informado de ello. Sera tan facil retirar el consentimiento como darlo. 


4. Al evaluar si el consentimiento se ha dado libremente, se tendra en cuenta en la mayor medida posible el hecho de 
si, entre otras cosas, la ejecucion de un contrato, incluida la prestacion de un servicio, se supedita al consentimiento al 
tratamiento de datos personales que no son necesarios para la ejecucion de dicho contrato. 


Articulo 8 


Condiciones aplicables al consentimiento del nino en relacion con los servicios de la sociedad de la 

information 


1. Cuando se aplique el articulo 6, apartado 1, letra a), en relacion con la oferta directa a ninos de servicios de la 
sociedad de la information, el tratamiento de los datos personales de un nino se considerara li'cito cuando tenga como 
mi'nimo 16 anos. Si el nino es menor de 16 anos, tal tratamiento unicamente se considerara li'cito si el consentimiento 
lo dio o autorizo el titular de la patria potestad o tutela sobre el nino, y solo en la medida en que se dio o autorizo. 


Los Estados miembros podran establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior 
a 13 anos. 
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2. El responsable del tratamiento hara esfuerzos razonables para verificar en tales casos que el consentimiento fue 
dado o autorizado por el titular de la patria potestad o tutela sobre el nino, teniendo en cuenta la tecnologia disponible. 


3. El apartado 1 no afectara a las disposiciones generates del Derecho contractual de los Estados miembros, como las 
normas relativas a la validez, formacion o efectos de los contratos en relacion con un nino. 


Arttculo 9 


Tratamiento de categorias especiales de datos personales 


1. Quedan prohibidos el tratamiento de datos personales que revelen el origen etnico o racial, las opiniones politicas, 
las convicciones religiosas o filosoficas, o la afiliacion sindical, y el tratamiento de datos geneticos, datos biometricos 
dirigidos a identificar de manera univoca a una persona fisica, datos relativos a la salud o datos relativos a la vida sexual 
o las orientacion sexuales de una persona fisica. 


2. El apartado 1 no sera de aplicacion cuando concurra una de las circunstancias siguientes: 

a) el interesado dio su consentimiento explicito para el tratamiento de dichos datos personales con uno o mas de los 
fines especificados, excepto cuando el Derecho de la Union o de los Estados miembros establezca que la prohibicion 
mencionada en el apartado 1 no puede ser levantada por el interesado; 

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos especificos del responsable 
del tratamiento o del interesado en el ambito del Derecho laboral y de la seguridad y proteccion social, en la medida 
en que asi lo autorice el Derecho de la Union de los Estados miembros o un convenio colectivo con arreglo al 
Derecho de los Estados miembros que establezca garantias adecuadas del respeto de los derechos fundamentales y de 
los intereses del interesado; 

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona fisica, en el supuesto de 
que el interesado no este capacitado, fisica o juridicamente, para dar su consentimiento; 

d) el tratamiento es efectuado, en el ambito de sus actividades legitimas y con las debidas garantias, por una fundacion, 
una asociacion o cualquier otro organismo sin animo de lucro, cuya finalidad sea politica, filosofica, religiosa o 
sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos 
o a personas que mantengan contactos regulares con ellos en relacion con sus fines y siempre que los datos 
personales no se comuniquen fuera de ellos sin el consentimiento de los interesados; 

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente publicos; 

f) el tratamiento es necesario para la formulation, el ejercicio o la defensa de reclamaciones o cuando los tribunales 
actuen en ejercicio de su funcion judicial; 

g) el tratamiento es necesario por razones de un interes publico esencial, sobre la base del Derecho de la Union o de los 
Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la 
proteccion de datos y establecer medidas adecuadas y especificas para proteger los intereses y derechos fundamentales 
del interesado; 

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluation de la capacidad laboral del 
trabajador, diagnostico medico, prestacion de asistencia o tratamiento de tipo sanitario o social, o gestion de los 
sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Union o de los Estados miembros 
o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantias contempladas 
en el apartado 3; 

i) el tratamiento es necesario por razones de interes publico en el ambito de la salud publica, como la proteccion frente 
a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la 
asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Union o de los 
Estados miembros que establezca medidas adecuadas y especificas para proteger los derechos y libertades del 
interesado, en particular el secreto profesional, 
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j) el tratamiento es necesario con fines de archivo en interes publico, fines de investigation cientifica o historica o fines 
estadisticos, de conformidad con el arti'culo 89, apartado 1, sobre la base del Derecho de la Union o de los Estados 
miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protection de 
datos y establecer medidas adecuadas y especificas para proteger los intereses y derechos fundamentales del 
interesado. 

3. Los datos personales a que se refiere el apartado 1 podran tratarse a los fines citados en el apartado 2, letra h), 
cuando su tratamiento sea realizado por un profesional sujeto a la obligation de secreto profesional, o bajo su responsa- 
bilidad, de acuerdo con el Derecho de la Union o de los Estados miembros o con las normas establecidas por los 
organismos nacionales competentes, o por cualquier otra persona sujeta tambien a la obligation de secreto de acuerdo 
con el Derecho de la Union o de los Estados miembros o de las normas establecidas por los organismos nacionales 
competentes. 

4. Los Estados miembros podran mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto 
al tratamiento de datos geneticos, datos biometricos o datos relativos a la salud. 


Articulo 10 

Tratamiento de datos personales relativos a condenas e infracciones penales 

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la 
base del articulo 6, apartado 1, solo podra llevarse a cabo bajo la supervision de las autoridades publicas o cuando lo 
autorice el Derecho de la Union o de los Estados miembros que establezca garantias adecuadas para los derechos y 
libertades de los interesados. Solo podra llevarse un registro completo de condenas penales bajo el control de las 
autoridades publicas. 


Articulo 11 

Tratamiento que no requiere identificacion 

1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificacion 
de un interesado por el responsable, este no estara obligado a mantener, obtener o tratar information adicional con 
vistas a identificar al interesado con la unica finalidad de cumplir el presente Reglamento. 

2. Cuando, en los casos a que se refiere el apartado 1 del presente articulo, el responsable sea capaz de demostrar que 
no esta en condiciones de identificar al interesado, le informara en consecuencia, de ser posible. En tales casos no se 
aplicaran los articulos 15a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos 
articulos, facilite information adicional que permita su identificacion. 


CAPfTULO III 

Derechos del interesado 

Seccion 1 

Transparencia y modalidades 

Articulo 12 

Transparencia de la information, comunicacion y modalidades de ejercicio de los derechos del 

interesado 

1. El responsable del tratamiento tomara las medidas oportunas para facilitar al interesado toda information indicada 
en los articulos 13 y 14, asi como cualquier comunicacion con arreglo a los articulos 15 a 22 y 34 relativa al 
tratamiento, en forma concisa, transparente, inteligible y de facil acceso, con un lenguaje claro y sencillo, en particular 
cualquier information dirigida especificamente a un nino. La information sera facilitada por escrito o por otros medios, 
inclusive, si procede, por medios electronicos. Cuando lo solicite el interesado, la information podra facilitarse 
verbalmente siempre que se demuestre la identidad del interesado por otros medios. 
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2. El responsable del tratamiento facilitara al interesado el ejercicio de sus derechos en virtud de los artfculos 15 a 22. 
En los casos a que se refiere el articulo 11, apartado 2, el responsable no se negara a actuar a petition del interesado 
con el fin de ejercer sus derechos en virtud de los artfculos 15 a 22, salvo que pueda demostrar que no esta en 
condiciones de identificar al interesado. 


3. El responsable del tratamiento facilitara al interesado informacion relativa a sus actuaciones sobre la base de una 
solicitud con arreglo a los artfculos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la reception de la 
solicitud. Dicho plazo podra prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el 
numero de solicitudes. El responsable informara al interesado de cualquiera de dichas prorrogas en el plazo de un mes a 
partir de la reception de la solicitud, indicando los motivos de la dilation. Cuando el interesado presente la solicitud por 
medios electronicos, la informacion se facilitara por medios electronicos cuando sea posible, a menos que el interesado 
solicite que se facilite de otro modo. 


4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informara sin dilation, y a mas tardar 
transcurrido un mes de la reception de la solicitud, de las razones de su no actuation y de la posibilidad de presentar 
una reclamation ante una autoridad de control y de ejercitar acciones judiciales. 


5. La informacion facilitada en virtud de los artfculos 13 y 14 asf como toda comunicacion y cualquier actuation 
realizada en virtud de los artfculos 15a22y34 seran a tftulo gratuito. Cuando las solicitudes sean manifiestamente 
infundadas o excesivas, especialmente debido a su caracter repetitivo, el responsable del tratamiento podra: 

a) cobrar un canon razonable en funcion de los costes administrativos afrontados para facilitar la informacion o la 
comunicacion o realizar la actuation solicitada, o 

b) negarse a actuar respecto de la solicitud. 

El responsable del tratamiento soportara la carga de demostrar el caracter manifiestamente infundado o excesivo de la 
solicitud. 

6. Sin perjuicio de lo dispuesto en el artfculo 11, cuando el responsable del tratamiento tenga dudas razonables en 
relation con la identidad de la persona ffsica que cursa la solicitud a que se refieren los artfculos 15 a 21, podra solicitar 
que se facilite la informacion adicional necesaria para confirmar la identidad del interesado. 


7. La informacion que debera facilitarse a los interesados en virtud de los artfculos 13 y 14 podra transmitirse en 
combination con iconos normalizados que permitan proporcionar de forma facilmente visible, inteligible y claramente 
legible una adecuada vision de conjunto del tratamiento previsto. Los iconos que se presenten en formato electronico 
seran legibles mecanicamente. 


8. La Comision estara facultada para adoptar actos delegados de conformidad con el artfculo 92 a fin de especificar la 
informacion que se ha de presentar a traves de iconos y los procedimientos para proporcionar iconos normalizados. 


Section 2 

Informacion y acceso a los datos personales 

Articulo 13 

Informacion que debera facilitarse cuando los datos personales se obtengan del interesado 

1. Cuando se obtengan de un interesado datos personales relativos a el, el responsable del tratamiento, en el 
momento en que estos se obtengan, le facilitara toda la informacion indicada a continuation: 

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; 

b) los datos de contacto del delegado de protection de datos, en su caso; 

c) los fines del tratamiento a que se destinan los datos personales y la base jurfdica del tratamiento; 
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d) cuando el tratamiento se base en el articulo 6, apartado 1, letra f), los intereses legftimos del responsable o de un 
tercero; 

e) los destinatarios o las categories de destinatarios de los datos personales, en su caso; 

f) en su caso, la intention del responsable de transferir datos personales a un tercer pais u organization internacional y 
la existencia o ausencia de una decision de adecuacion de la Comision, o, en el caso de las transferencias indicadas en 
los articulos 46 o 47 o el articulo 49, apartado 1, parrafo segundo, referencia a las garantias adecuadas o apropiadas 
y a los medios para obtener una copia de estas o al hecho de que se hayan prestado. 

2. Ademas de la informacion mencionada en el apartado 1, el responsable del tratamiento facilitara al interesado, en 
el momento en que se obtengan los datos personales, la siguiente informacion necesaria para garantizar un tratamiento 
de datos leal y transparente: 

a) el plazo durante el cual se conservaran los datos personales o, cuando no sea posible, los criterios utilizados para 
determinar este plazo; 

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al 
interesado, y su rectification o supresion, o la limitation de su tratamiento, o a oponerse al tratamiento, asi como el 
derecho a la portabilidad de los datos; 

c) cuando el tratamiento este basado en el articulo 6, apartado 1, letra a), o el articulo 9, apartado 2, letra a), la 
existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del 
tratamiento basado en el consentimiento previo a su retirada; 

d) el derecho a presentar una reclamation ante una autoridad de control; 

e) si la comunicacion de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un 
contrato, y si el interesado esta obligado a facilitar los datos personales y esta informado de las posibles consecuencias 
de que no facilitar tales datos; 

f) la existencia de decisiones automatizas, incluida la elaboration de perfiles, a que se refiere el articulo 22, apartados 1 
y 4, y, al menos en tales casos, informacion significativa sobre la logica aplicada, asi como la importancia y las 
consecuencias previstas de dicho tratamiento para el interesado. 

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea 
aquel para el que se recogieron, proporcionara al interesado, con anterioridad a dicho tratamiento ulterior, informacion 
sobre ese otro fin y cualquier informacion adicional pertinente a tenor del apartado 2. 


4. Las disposiciones de los apartados 1, 2 y 3 no seran aplicables cuando y en la medida en que el interesado ya 
disponga de la informacion. 


Articulo 14 

Informacion que debera facilitarse cuando los datos personales no se hayan obtenido del 

interesado 

1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitara la 
siguiente informacion: 

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; 

b) los datos de contacto del delegado de protection de datos, en su caso; 

c) los fines del tratamiento a que se destinan los datos personales, asi como la base juridica del tratamiento; 

d) las categorias de datos personales de que se trate; 

e) los destinatarios o las categories de destinatarios de los datos personales, en su caso; 
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f) en su caso, la intendon del responsable de transferir datos personales a un destinatario en un tercer pais u 
organization internacional y la existencia o ausencia de una decision de adecuacion de la Comision, o, en el caso de 
las transferencias indicadas en los articulos 46 o 47 o el articulo 49, apartado 1, parrafo segundo, referencia a las 
garantias adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan 
prestado. 

2. Ademas de la informacion mencionada en el apartado 1, el responsable del tratamiento facilitara al interesado la 
siguiente informacion necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado: 

a) el plazo durante el cual se conservaran los datos personales o, cuando eso no sea posible, los criterios utilizados para 
determinar este plazo: 

b) cuando el tratamiento se base en el articulo 6, apartado 1, letra f), los intereses legitimos del responsable del 
tratamiento o de un tercero; 

c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al 

interesado, y su rectification o supresion, o la limitation de su tratamiento, y a oponerse al tratamiento, asi como el 

derecho a la portabilidad de los datos; 

d) cuando el tratamiento este basado en el articulo 6, apartado 1, letra a), o el articulo 9, apartado 2, letra a), la 

existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del 

tratamiento basada en el consentimiento antes de su retirada; 

e) el derecho a presentar una reclamation ante una autoridad de control; 

f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso publico; 

g) la existencia de decisiones automatizadas, incluida la elaboration de perfiles, a que se refiere el articulo 22, 
apartados 1 y 4, y, al menos en tales casos, informacion significativa sobre la logica aplicada, asi como la 
importancia y las consecuencias previstas de dicho tratamiento para el interesado. 

3. El responsable del tratamiento facilitara la informacion indicada en los apartados 1 y 2: 

a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a mas tardar dentro de un mes, habida 
cuenta de las circunstancias especificas en las que se traten dichos datos; 

b) si los datos personales han de utilizarse para comunicacion con el interesado, a mas tardar en el momento de la 
primera comunicacion a dicho interesado, o 

c) si esta previsto comunicarlos a otro destinatario, a mas tardar en el momento en que los datos personales sean 
comunicados por primera vez. 

4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no 
sea aquel para el que se obtuvieron, proporcionara al interesado, antes de dicho tratamiento ulterior, informacion sobre 
ese otro fin y cualquier otra informacion pertinente indicada en el apartado 2. 


5. Las disposiciones de los apartados 1 a 4 no seran aplicables cuando y en la medida en que: 

a) el interesado ya disponga de la informacion; 

b) la comunicacion de dicha informacion resulte imposible o suponga un esfuerzo desproporcionado, en particular para 
el tratamiento con fines de archivo en interes publico, fines de investigation cientffica o historica o fines estadisticos, 
a reserva de las condiciones y garantias indicadas en el articulo 89, apartado 1, o en la medida en que la obligation 
mencionada en el apartado 1 del presente articulo pueda imposibilitar u obstaculizar gravemente el logro de los 
objetivos de tal tratamiento. En tales casos, el responsable adoptara medidas adecuadas para proteger los derechos, 
libertades e intereses legitimos del interesado, inclusive haciendo publica la informacion; 

c) la obtencion o la comunicacion este expresamente establecida por el Derecho de la Union o de los Estados miembros 
que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses 
legitimos del interesado, o 

d) cuando los datos personales deban seguir teniendo caracter confidencial sobre la base de una obligation de secreto 
profesional regulada por el Derecho de la Union o de los Estados miembros, incluida una obligation de secreto de 
naturaleza estatutaria. 
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Articulo 15 

Derecho de acceso del interesado 

1. El interesado tendra derecho a obtener del responsable del tratamiento confirmation de si se estan tratando o no 
datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente informacion: 

a) los fines del tratamiento; 

b) las categorfas de datos personales de que se trate; 

c) los destinatarios o las categorfas de destinatarios a los que se comunicaron o seran comunicados los datos personales, 
en particular destinatarios en terceros u organizaciones internacionales; 

d) de ser posible, el plazo previsto de conservation de los datos personales o, de no ser posible, los criterios utilizados 
para determinar este plazo; 

e) la existencia del derecho a solicitar del responsable la rectificacion o supresion de datos personales o la limitation del 
tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento; 

f) el derecho a presentar una reclamation ante una autoridad de control; 

g) cuando los datos personales no se hayan obtenido del interesado, cualquier informacion disponible sobre su origen; 

h) la existencia de decisiones automatizadas, incluida la elaboration de perfiles, a que se refiere el articulo 22, 
apartados 1 y 4, y, al menos en tales casos, informacion significativa sobre la logica aplicada, asi como la 
importancia y las consecuencias previstas de dicho tratamiento para el interesado. 

2. Cuando se transfieran datos personales a un tercer pais o a una organization internacional, el interesado tendra 
derecho a ser informado de las garantias adecuadas en virtud del articulo 46 relativas a la transferencia. 

3. El responsable del tratamiento facilitara una copia de los datos personales objeto de tratamiento. El responsable 
podra percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes adminis- 
trativos. Cuando el interesado presente la solicitud por medios electronicos, y a menos que este solicite que se facilite de 
otro modo, la informacion se facilitara en un formato electronico de uso comun. 

4. El derecho a obtener copia mencionado en el apartado 3 no afectara negativamente a los derechos y libertades de 
otros. 


Seccion 3 

Rectificacion y supresion 

Articulo 16 

Derecho de rectificacion 

El interesado tendra derecho a obtener sin dilacion indebida del responsable del tratamiento la rectificacion de los datos 
personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendra derecho a que 
se completen los datos personales que sean incompletos, inclusive mediante una declaration adicional. 


Articulo 17 

Derecho de supresion («el derecho al olvido») 

1. El interesado tendra derecho a obtener sin dilacion indebida del responsable del tratamiento la supresion de los 
datos personales que le conciernan, el cual estara obligado a suprimir sin dilacion indebida los datos personales cuando 
concurra alguna de las circunstancias siguientes: 

a) los datos personales ya no sean necesarios en relation con los fines para los que fueron recogidos o tratados de otro 
modo; 
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b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el articulo 6, apartado 1, 
letra a), o el articulo 9, apartado 2, letra a), y este no se base en otro fundamento jurfdico; 

c) el interesado se oponga al tratamiento con arreglo al articulo 21, apartado 1, y no prevalezcan otros motivos 
legitimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al articulo 21, apartado 2; 

d) los datos personales hayan sido tratados ilicitamente; 

e) los datos personales deban suprimirse para el cumplimiento de una obligacion legal establecida en el Derecho de la 
Union o de los Estados miembros que se aplique al responsable del tratamiento; 

f) los datos personales se hayan obtenido en relation con la oferta de servicios de la sociedad de la informacion 
mencionados en el articulo 8, apartado 1. 

2. Cuando haya hecho publicos los datos personales y este obligado, en virtud de lo dispuesto en el apartado 1, a 
suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnologia disponible y el coste de su 
aplicacion, adoptara medidas razonables, incluidas medidas tecnicas, con miras a informar a los responsables que esten 
tratando los datos personales de la solicitud del interesado de supresion de cualquier enlace a esos datos personales, o 
cualquier copia o replica de los mismos. 


3. Los apartados 1 y 2 no se aplicaran cuando el tratamiento sea necesario: 

a) para ejercer el derecho a la libertad de expresion e informacion; 

b) para el cumplimiento de una obligacion legal que requiera el tratamiento de datos impuesta por el Derecho de la 
Union o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una 
mision realizada en interes publico o en el ejercicio de poderes publicos conferidos al responsable; 

c) por razones de interes publico en el ambito de la salud publica de conformidad con el articulo 9, apartado 2, 
letras h) e i), y apartado 3; 

d) con fines de archivo en interes publico, fines de investigation cientifica o historica o fines estadisticos, de 
conformidad con el articulo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer 
imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o 

e) para la formulacion, el ejercicio o la defensa de reclamaciones. 


Articulo 18 

Derecho a la limitacion del tratamiento 

1. El interesado tendra derecho a obtener del responsable del tratamiento la limitacion del tratamiento de los datos 
cuando se cumpla alguna de las condiciones siguientes: 

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la 
exactitud de los mismos; 

b) el tratamiento sea ilicito y el interesado se oponga a la supresion de los datos personales y solicite en su lugar la 
limitacion de su uso; 

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para 
la formulacion, el ejercicio o la defensa de reclamaciones; 

d) el interesado se haya opuesto al tratamiento en virtud del articulo 21, apartado 1, mientras se verifica si los motivos 
legitimos del responsable prevalecen sobre los del interesado. 

2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podran ser 
objeto de tratamiento, con exception de su conservation, con el consentimiento del interesado o para la formulacion, el 
ejercicio o la defensa de reclamaciones, o con miras a la protection de los derechos de otra persona fisica o juridica o 
por razones de interes publico importante de la Union o de un determinado Estado miembro. 
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3. Todo interesado que haya obtenido la limitacion del tratamiento con arreglo al apartado 1 sera informado por el 
responsable antes del levantamiento de dicha limitacion. 


Articulo 19 


Obligacion de notification relativa a la rectification o supresion de datos personales o la limitacion 

del tratamiento 


El responsable del tratamiento comunicara cualquier rectification o supresion de datos personales o limitacion del 
tratamiento efectuada con arreglo al articulo 16, al articulo 17, apartado 1, y al articulo 18 a cada uno de los destina- 
tarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo despropor- 
cionado. El responsable informara al interesado acerca de dichos destinatarios, si este asi lo solicita. 


Articulo 20 


Derecho a la portabilidad de los datos 


1. El interesado tendra derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable 
del tratamiento, en un formato estructurado, de uso comun y lectura mecanica, y a transmitirlos a otro responsable del 
tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando: 

a) el tratamiento este basado en el consentimiento con arreglo al articulo 6, apartado 1, letra a), o el articulo 9, 
apartado 2, letra a), o en un contrato con arreglo al articulo 6, apartado 1, letra b), y 

b) el tratamiento se efectue por medios automatizados. 

2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendra derecho a 
que los datos personales se transmitan directamente de responsable a responsable cuando sea tecnicamente posible. 

3. El ejercicio del derecho mencionado en el apartado 1 del presente articulo se entendera sin perjuicio del 
articulo 17. Tal derecho no se aplicara al tratamiento que sea necesario para el cumplimiento de una mision realizada en 
interes publico o en el ejercicio de poderes publicos conferidos al responsable del tratamiento. 

4. El derecho mencionado en el apartado 1 no afectara negativamente a los derechos y libertades de otros. 


Section 4 

Derecho de oposicion y decisiones individuales automatizadas 


Articulo 21 


Derecho de oposicion 


1. El interesado tendra derecho a oponerse en cualquier momento, por motivos relacionados con su situation 
particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el 
articulo 6, apartado 1, letras e) o f), incluida la elaboracion de perfiles sobre la base de dichas disposiciones. El 
responsable del tratamiento dejara de tratar los datos personales, salvo que acredite motivos legitimos imperiosos para el 
tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulation, el 
ejercicio o la defensa de reclamaciones. 

2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendra derecho 
a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboracion de 
perfiles en la medida en que este relacionada con la citada mercadotecnia. 

3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejaran de 
ser tratados para dichos fines. 
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4. A mas tardar en el momento de la primera comunicacion con el interesado, el derecho indicado en los 
apartados 1 y 2 sera mencionado explicitamente al interesado y sera presentado claramente y al margen de cualquier 
otra informacion. 


5. En el contexto de la utilization de servicios de la sociedad de la informacion, y no obstante lo dispuesto en la 
Directiva 2002/58/CE, el interesado podra ejercer su derecho a oponerse por medios automatizados que apliquen especi- 
ficaciones tecnicas. 

6. Cuando los datos personales se traten con fines de investigation cientifica o historica o fines estadisticos de 
conformidad con el articulo 89, apartado 1, el interesado tendra derecho, por motivos relacionados con su situation 
particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el 
cumplimiento de una mision realizada por razones de interes publico. 


Articulo 22 


Decisiones individuates automatizadas, incluida la elaboracion de perfiles 


1. Todo interesado tendra derecho a no ser objeto de una decision basada unicamente en el tratamiento 
automatizado, incluida la elaboracion de perfiles, que produzca efectos juridicos en el o le afecte significativamente de 
modo similar. 


2. El apartado 1 no se aplicara si la decision: 

a) es necesaria para la celebration o la ejecucion de un contrato entre el interesado y un responsable del tratamiento; 

b) esta autorizada por el Derecho de la Union o de los Estados miembros que se aplique al responsable del tratamiento 
y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legi'timos del 
interesado, o 

c) se basa en el consentimiento explicito del interesado. 

3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptara las medidas 
adecuadas para salvaguardar los derechos y libertades y los intereses legi'timos del interesado, como minimo el derecho a 
obtener intervention humana por parte del responsable, a expresar su punto de vista y a impugnar la decision. 

4. Las decisiones a que se refiere el apartado 2 no se basaran en las categorfas especiales de datos personales 
contempladas en el articulo 9, apartado 1, salvo que se aplique el articulo 9, apartado 2, letra a) o g), y se hayan tornado 
medidas adecuadas para salvaguardar los derechos y libertades y los intereses legi'timos del interesado. 


Section 5 

Limitaciones 


Articulo 23 


Limitaciones 


1. El Derecho de la Union o de los Estados miembros que se aplique al responsable o el encargado del tratamiento 
podra limitar, a traves de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los 
articulos 12 a 22 y el articulo 34, asi como en el articulo 5 en la medida en que sus disposiciones se correspondan con 
los derechos y obligaciones contemplados en los articulos 12 a 22, cuando tal limitation respete en lo esencial los 
derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democratica para 
salvaguardar: 

a) la seguridad del Estado; 

b) la defensa; 

c) la seguridad publica; 
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d) la prevention, investigation, deteccion o enjuiciamiento de infracciones penales o la ejecucion de sanciones penales, 
incluida la proteccion frente a amenazas a la seguridad publica y su prevention; 

e) otros objetivos importantes de interes publico general de la Union o de un Estado miembro, en particular un interes 
economico o financiero importante de la Union o de un Estado miembro, inclusive en los ambitos fiscal, 
presupuestario y monetario, la sanidad publica y la seguridad social; 

f) la proteccion de la independencia judicial y de los procedimientos judiciales; 

g) la prevention, la investigation, la deteccion y el enjuiciamiento de infracciones de normas deontologicas en las 
profesiones reguladas; 

h) una funcion de supervision, inspection o reglamentacion vinculada, incluso ocasionalmente, con el ejercicio de la 
autoridad publica en los casos contemplados en las letras a) a e) y g); 

i) la proteccion del interesado o de los derechos y libertades de otros; 

j) la ejecucion de demandas civiles. 

2. En particular, cualquier medida legislativa indicada en el apartado 1 contendra como minimo, en su caso, disposi- 
ciones especificas relativas a: 

a) la finalidad del tratamiento o de las categorfas de tratamiento; 

b) las categorfas de datos personales de que se trate; 

c) el alcance de las limitaciones establecidas; 

d) las garantias para evitar accesos o transferencias ilicitos o abusivos; 

e) la determination del responsable o de categorfas de responsables; 

f) los plazos de conservation y las garantias aplicables habida cuenta de la naturaleza alcance y objetivos del 
tratamiento o las categorfas de tratamiento; 

g) los riesgos para los derechos y libertades de los interesados, y 

h) el derecho de los interesados a ser informados sobre la limitation, salvo si puede ser perjudicial a los fines de esta. 

CAPfTULO IV 

Responsable del tratamiento y encargado del tratamiento 

Section 1 

Obligaciones generales 

Articulo 24 

Responsabilidad del responsable del tratamiento 

1. Teniendo en cuenta la naturaleza, el ambito, el contexto y los fines del tratamiento asi como los riesgos de diversa 
probabilidad y gravedad para los derechos y libertades de las personas fisicas, el responsable del tratamiento aplicara 
medidas tecnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el 
presente Reglamento. Dichas medidas se revisaran y actualizaran cuando sea necesario. 

2. Cuando sean proporcionadas en relation con las actividades de tratamiento, entre las medidas mencionadas en el 
apartado 1 se incluira la aplicacion, por parte del responsable del tratamiento, de las oportunas politicas de proteccion 
de datos. 


3. La adhesion a codigos de conducta aprobados a tenor del articulo 40 o a un mecanismo de certification aprobado 
a tenor del articulo 42 podran ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por 
parte del responsable del tratamiento. 
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Articulo 25 


Proteccion de datos desde el diseno y por defecto 


1. Teniendo en cuenta el estado de la tecnica, el coste de la aplicacion y la naturaleza, ambito, contexto y fines del 
tratamiento, asi como los riesgos de diversa probabilidad y gravedad que entrana el tratamiento para los derechos y 
libertades de las personas fisicas, el responsable del tratamiento aplicara, tanto en el momento de determinar los medios 
de tratamiento como en el momento del propio tratamiento, medidas tecnicas y organizativas apropiadas, como la 
seudonimizacion, concebidas para aplicar de forma efectiva los principios de proteccion de datos, como la minimization 
de datos, e integrar las garantias necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y 
proteger los derechos de los interesados. 


2. El responsable del tratamiento aplicara las medidas tecnicas y organizativas apropiadas con miras a garantizar que, 
por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines 
especificos del tratamiento. Esta obligation se aplicara a la cantidad de datos personales recogidos, a la extension de su 
tratamiento, a su plazo de conservation y a su accesibilidad. Tales medidas garantizaran en particular que, por defecto, 
los datos personales no sean accesibles, sin la intervention de la persona, a un numero indeterminado de personas 
fisicas. 


3. Podra utilizarse un mecanismo de certification aprobado con arreglo al articulo 42 como elemento que acredite el 
cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente articulo. 


Articulo 26 


Corresponsables del tratamiento 


1. Cuando dos o mas responsables determinen conjuntamente los objetivos y los medios del tratamiento seran 
considerados corresponsables del tratamiento. Los corresponsables determinaran de modo transparente y de mutuo 
acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, 
en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de 
information a que se refieren los articulos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se 
rijan por el Derecho de la Union o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podra designar un 
punto de contacto para los interesados. 


2. El acuerdo indicado en el apartado 1 reflejara debidamente las funciones y relaciones respectivas de los correspon¬ 
sables en relation con los interesados. Se pondran a disposition del interesado los aspectos esenciales del acuerdo. 


3. Independientemente de los terminos del acuerdo a que se refiere el apartado 1, los interesados podran ejercer los 
derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables. 


Articulo 27 


Representantes de responsables o encargados del tratamiento no establecidos en la Union 

1. Cuando sea de aplicacion el articulo 3, apartado 2, el responsable o el encargado del tratamiento designara por 
escrito un representante en la Union. 


2. La obligation establecida en el apartado 1 del presente articulo no sera aplicable: 

a) al tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categories especiales de datos indicadas 
en el articulo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el 
articulo 10, y que sea improbable que entrane un riesgo para los derechos y libertades de las personas fisicas, 
teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o 

b) a las autoridades u organismos publicos. 
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3. El representante estara establecido en uno de los Estados miembros en que esten los interesados cuyos datos 
personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento este siendo controlado. 


4. El responsable o el encargado del tratamiento encomendara al representante que atienda, junto al responsable o al 
encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los 
asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento. 


5. La designation de un representante por el responsable o el encargado del tratamiento se entendera sin perjuicio de 
las acciones que pudieran emprenderse contra el propio responsable o encargado. 


Arttculo 28 


Encargado del tratamiento 


1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegira unicamente un 
encargado que ofrezca garantias suficientes para aplicar medidas tecnicas y organizativas apropiados, de manera que el 
tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protection de los derechos del 
interesado. 


2. El encargado del tratamiento no recurrira a otro encargado sin la autorizacion previa por escrito, especifica o 
general, del responsable. En este ultimo caso, el encargado informara al responsable de cualquier cambio previsto en la 
incorporation o sustitucion de otros encargados, dando asf al responsable la oportunidad de oponerse a dichos cambios. 


3. El tratamiento por el encargado se regira por un contrato u otro acto juridico con arreglo al Derecho de la Union 
o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duration, la 
naturaleza y la finalidad del tratamiento, el tipo de datos personales y categories de interesados, y las obligaciones y 
derechos del responsable. Dicho contrato o acto juridico estipulara, en particular, que el encargado: 


a) tratara los datos personales unicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto 
a las transferencias de datos personales a un tercer pais o una organization international, salvo que este obligado a 
ello en virtud del Derecho de la Union o de los Estados miembros que se aplique al encargado; en tal caso, el 
encargado informara al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohfba por 
razones importantes de interes publico; 

b) garantizara que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confiden- 
cialidad o esten sujetas a una obligation de confidencialidad de naturaleza estatutaria; 

c) tomara todas las medidas necesarias de conformidad con el articulo 32; 

d) respetara las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento; 

e) asistira al responsable, teniendo cuenta la naturaleza del tratamiento, a traves de medidas tecnicas y organizativas 
apropiadas, siempre que sea posible, para que este pueda cumplir con su obligation de responder a las solicitudes 
que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capitulo III; 

f) ayudara al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artfculos 32 a 36, 
teniendo en cuenta la naturaleza del tratamiento y la information a disposition del encargado; 

g) a election del responsable, suprimira o devolvera todos los datos personales una vez finalice la prestacion de los 
servicios de tratamiento, y suprimira las copias existentes a menos que se requiera la conservation de los datos 
personales en virtud del Derecho de la Union o de los Estados miembros; 

h) pondra a disposition del responsable toda la information necesaria para demostrar el cumplimiento de las 
obligaciones establecidas en el presente articulo, asi como para permitir y contribuir a la realization de auditorias, 
incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. 
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En relacion con lo dispuesto en la letra h) del parrafo primero, el encargado informant inmediatamente al responsable si, 
en su opinion, una instruction infringe el presente Reglamento u otras disposiciones en materia de proteccion de datos 
de la Union o de los Estados miembros. 


4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de 
tratamiento por cuenta del responsable, se impondran a este otro encargado, mediante contrato u otro acto jurfdico 
establecido con arreglo al Derecho de la Union o de los Estados miembros, las mismas obligaciones de proteccion de 
datos que las estipuladas en el contrato u otro acto juridico entre el responsable y el encargado a que se refiere el 
apartado 3, en particular la prestacion de garantias suficientes de aplicacion de medidas tecnicas y organizativas 
apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro 
encargado incumple sus obligaciones de proteccion de datos, el encargado inicial seguira siendo plenamente responsable 
ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado. 

5. La adhesion del encargado del tratamiento a un codigo de conducta aprobado a tenor del articulo 40 o a un 
mecanismo de certificacion aprobado a tenor del articulo 42 podra utilizarse como elemento para demostrar la 
existencia de las garantias suficientes a que se refieren los apartados 1 y 4 del presente articulo. 

6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un contrato individual, el contrato u 
otro acto juridico a que se refieren los apartados 3 y 4 del presente articulo podra basarse, total o parcialmente, en las 
clausulas contractuales tipo a que se refieren los apartados 7 y 8 del presente articulo, inclusive cuando formen parte de 
una certificacion concedida al responsable o encargado de conformidad con los articulos 42 y 43. 

7. La Comision podra fijar clausulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del 
presente articulo, de acuerdo con el procedimiento de examen a que se refiere el articulo 93, apartado 2. 

8. Una autoridad de control podra adoptar clausulas contractuales tipo para los asuntos a que se refieren los 
apartados 3 y 4 del presente articulo, de acuerdo con el mecanismo de coherencia a que se refiere el articulo 63. 

9. El contrato u otro acto juridico a que se refieren los apartados 3 y 4 constara por escrito, inclusive en formato 
electronico. 

10. Sin perjuicio de lo dispuesto en los articulos 82, 83 y 84, si un encargado del tratamiento infringe el presente 
Reglamento al determinar los fines y medios del tratamiento, sera considerado responsable del tratamiento con respecto 
a dicho tratamiento. 


Articulo 29 


Tratamiento bajo la autoridad del responsable o del encargado del tratamiento 


El encargado del tratamiento y cualquier persona que actue bajo la autoridad del responsable o del encargado y tenga 
acceso a datos personales solo podran tratar dichos datos siguiendo instrucciones del responsable, a no ser que esten 
obligados a ello en virtud del Derecho de la Union o de los Estados miembros. 


Articulo 30 

Registro de las actividades de tratamiento 

1. Cada responsable y, en su caso, su representante llevaran un registro de las actividades de tratamiento efectuadas 
bajo su responsabilidad. Dicho registro debera contener toda la information indicada a continuation: 

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del 
responsable, y del delegado de proteccion de datos; 

b) los fines del tratamiento; 

c) una description de las categories de interesados y de las categorfas de datos personales; 



4.5.2016 




Diario Oficial de la Union Europea 


L 119/51 


d) las categories de destinatarios a quienes se comunicaron o comunicaran los datos personales, incluidos los destina- 
tarios en terceros paises u organizaciones internacionales; 

e) en su caso, las transferencias de datos personales a un tercer pais o una organizacion internacional, incluida la identi¬ 
fication de dicho tercer pais u organizacion internacional y, en el caso de las transferencias indicadas en el 
articulo 49, apartado 1, parrafo segundo, la documentation de garantias adecuadas; 

f) cuando sea posible, los plazos previstos para la supresion de las diferentes categorias de datos; 

g) cuando sea posible, una description general de las medidas tecnicas y organizativas de seguridad a que se refiere el 
articulo 32, apartado 1. 

2. Cada encargado y, en su caso, el representante del encargado, llevara un registro de todas las categorias de 

actividades de tratamiento efectuadas por cuenta de un responsable que contenga: 

a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actue el 
encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protection de datos; 

b) las categorias de tratamientos efectuados por cuenta de cada responsable; 

c) en su caso, las transferencias de datos personales a un tercer pais u organizacion internacional, incluida la identifi¬ 
cation de dicho tercer pais u organizacion internacional y, en el caso de las transferencias indicadas en el articulo 49, 
apartado 1, parrafo segundo, la documentation de garantias adecuadas; 

d) cuando sea posible, una description general de las medidas tecnicas y organizativas de seguridad a que se refiere el 
articulo 30, apartado 1. 

3. Los registros a que se refieren los apartados 1 y 2 constaran por escrito, inclusive en formato electronico. 

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado 

pondran el registro a disposition de la autoridad de control que lo solicite. 


5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicaran a ninguna empresa ni organizacion que emplee a 
menos de 250 personas, a menos que el tratamiento que realice pueda entranar un riesgo para los derechos y libertades 
de los interesados, no sea ocasional, o incluya categorias especiales de datos personales indicadas en el articulo 9, 
apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el articulo 10. 


Articulo 31 


Cooperation con la autoridad de control 


El responsable y el encargado del tratamiento y, en su caso, sus representantes cooperaran con la autoridad de control 
que lo solicite en el desempeno de sus funciones. 


Section 2 

Seguridad de los datos personales 


Articulo 32 


Seguridad del tratamiento 


1. Teniendo en cuenta el estado de la tecnica, los costes de aplicacion, y la naturaleza, el alcance, el contexto y los 
fines del tratamiento, asi como riesgos de probabilidad y gravedad variables para los derechos y libertades de las 
personas fisicas, el responsable y el encargado del tratamiento aplicaran medidas tecnicas y organizativas apropiadas para 
garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: 


a) la seudonimizacion y el cifrado de datos personales; 
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b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y 
servicios de tratamiento; 

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rapida en caso de incidente 
fisico o tecnico; 

d) un proceso de verification, evaluation y valoracion regulares de la eficacia de las medidas tecnicas y organizativas 
para garantizar la seguridad del tratamiento. 

2. Al evaluar la adecuacion del nivel de seguridad se tendran particularmente en cuenta los riesgos que presente el 
tratamiento de datos, en particular como consecuencia de la destruction, perdida o alteration accidental o ilicita de 
datos personales transmitidos, conservados o tratados de otra forma, o la comunicacion o acceso no autorizados a 
dichos datos. 

3. La adhesion a un codigo de conducta aprobado a tenor del articulo 40 o a un mecanismo de certification 
aprobado a tenor del articulo 42 podra servir de elemento para demostrar el cumplimiento de los requisitos establecidos 
en el apartado 1 del presente articulo. 

4. El responsable y el encargado del tratamiento tomaran medidas para garantizar que cualquier persona que actue 
bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos 
siguiendo instrucciones del responsable, salvo que este obligada a ello en virtud del Derecho de la Union o de los 
Estados miembros. 


Articulo 33 

Notification de una violation de la seguridad de los datos personales a la autoridad de control 

1. En caso de violation de la seguridad de los datos personales, el responsable del tratamiento la notificara a la 
autoridad de control competente de conformidad con el articulo 5 5 sin dilation indebida y, de ser posible, a mas tardar 
7 2 horas despues de que haya tenido constancia de ella, a menos que sea improbable que dicha violation de la seguridad 
constituya un riesgo para los derechos y las libertades de las personas ffsicas. Si la notification a la autoridad de control 
no tiene lugar en el plazo de 72 horas, debera ir acompanada de indication de los motivos de la dilation. 

2. El encargado del tratamiento notificara sin dilation indebida al responsable del tratamiento las violaciones de la 
seguridad de los datos personales de las que tenga conocimiento. 

3. La notification contemplada en el apartado 1 debera, como minimo: 

a) describir la naturaleza de la violation de la seguridad de los datos personales, inclusive, cuando sea posible, las 
categorfas y el numero aproximado de interesados afectados, y las categories y el numero aproximado de registros de 
datos personales afectados; 

b) comunicar el nombre y los datos de contacto del delegado de protection de datos o de otro punto de contacto en el 
que pueda obtenerse mas information; 

c) describir las posibles consecuencias de la violation de la seguridad de los datos personales; 

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violation de 
la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos 
negativos. 

4. Si no fuera posible facilitar la information simultaneamente, y en la medida en que no lo sea, la information se 
facilitara de manera gradual sin dilation indebida. 

5. El responsable del tratamiento documentary cualquier violation de la seguridad de los datos personales, incluidos 
los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentation permitira a la 
autoridad de control verificar el cumplimiento de lo dispuesto en el presente articulo. 


Articulo 34 

Comunicacion de una violation de la seguridad de los datos personales al interesado 

1. Cuando sea probable que la violation de la seguridad de los datos personales entrane un alto riesgo para los 
derechos y libertades de las personas ffsicas, el responsable del tratamiento la comunicara al interesado sin dilation 
indebida. 
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2. La comunicacion al interesado contemplada en el apartado 1 del presente articulo describira en un lenguaje claro y 
sencillo la naturaleza de la violacion de la seguridad de los datos personales y contendra como minirno la information y 
las medidas a que se refiere el articulo 33, apartado 3, letras b), c) y d). 

3. La comunicacion al interesado a que se refiere el apartado 1 no sera necesaria si se cumple alguna de las 
condiciones siguientes: 

a) el responsable del tratamiento ha adoptado medidas de protection tecnicas y organizativas apropiadas y estas 
medidas se han aplicado a los datos personales afectados por la violacion de la seguridad de los datos personales, en 
particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no este autorizada a 
acceder a ellos, como el cifrado; 

b) el responsable del tratamiento ha tornado medidas ulteriores que garanticen que ya no exista la probabilidad de que 
se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; 

c) suponga un esfuerzo desproporcionado. En este caso, se optara en su lugar por una comunicacion piiblica o una 
medida semejante por la que se informe de manera igualmente efectiva a los interesados. 

4. Cuando el responsable todavia no haya comunicado al interesado la violacion de la seguridad de los datos 
personales, la autoridad de control, una vez considerada la probabilidad de que tal violacion entrane un alto riesgo, 
podra exigirle que lo haga o podra decidir que se cumple alguna de las condiciones mencionadas en el apartado 3. 


Seccion 3 

Evaluation de impacto relativa a la protection de datos y consulta previa 


Articulo 35 


Evaluation de impacto relativa a la protection de datos 


1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologias, por su naturaleza, 
alcance, contexto o fines, entrane un alto riesgo para los derechos y libertades de las personas fisicas, el responsable del 
tratamiento realizara, antes del tratamiento, una evaluation del impacto de las operaciones de tratamiento en la 
protection de datos personales. Una unica evaluation podra abordar una serie de operaciones de tratamiento similares 
que entranen altos riesgos similares. 

2. El responsable del tratamiento recabara el asesoramiento del delegado de protection de datos, si ha sido 
nombrado, al realizar la evaluation de impacto relativa a la protection de datos. 

3. La evaluation de impacto relativa a la protection de los datos a que se refiere el apartado 1 se requerira en 
particular en caso de: 

a) evaluation sistematica y exhaustiva de aspectos personales de personas fisicas que se base en un tratamiento 
automatizado, como la elaboration de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos 
juridicos para las personas fisicas o que les afecten significativamente de modo similar; 

b) tratamiento a gran escala de las categorias especiales de datos a que se refiere el articulo 9, apartado 1, o de los datos 
personales relativos a condenas e infracciones penales a que se refiere el articulo 10, o 

c) observation sistematica a gran escala de una zona de acceso publico. 

4. La autoridad de control establecera y publicara una lista de los tipos de operaciones de tratamiento que requieran 
una evaluation de impacto relativa a la protection de datos de conformidad con el apartado 1. La autoridad de control 
comunicara esas listas al Comite a que se refiere el articulo 68. 

5. La autoridad de control podra asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren 
evaluaciones de impacto relativas a la protection de datos. La autoridad de control comunicara esas listas al Comite. 

6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicara el 
mecanismo de coherencia contemplado en el articulo 63 si esas listas incluyen actividades de tratamiento que guarden 
relation con la oferta de bienes o servicios a interesados o con la observation del comportamiento de estos en varios 
Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulation de datos 
personales en la Union. 



L 119/54 




Diario Oficial de la Union Europea 


4.5.2016 


7. La evaluation debera incluir como minimo: 

a) una description sistematica de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, 
cuando proceda, el interes legi'timo perseguido por el responsable del tratamiento; 

b) una evaluation de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; 

c) una evaluation de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y 

d) las medidas previstas para afrontar los riesgos, incluidas garantias, medidas de seguridad y mecanismos que 
garanticen la protection de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en 
cuenta los derechos e intereses legftimos de los interesados y de otras personas afectadas. 

8. El cumplimiento de los codigos de conducta aprobados a que se refiere el articulo 40 por los responsables o 
encargados correspondientes se tendra debidamente en cuenta al evaluar las repercusiones de las operaciones de 
tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluation de impacto relativa 
a la protection de datos. 

9. Cuando proceda, el responsable recabara la opinion de los interesados o de sus representantes en relation con el 
tratamiento previsto, sin perjuicio de la protection de intereses publicos o comerciales o de la seguridad de las 
operaciones de tratamiento. 

10. Cuando el tratamiento de conformidad con el articulo 6, apartado 1, letras c) o e), tenga su base juridica en el 
Derecho de la Union o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho 
regule la operation especifica de tratamiento o conjunto de operaciones en cuestion, y ya se haya realizado una 
evaluation de impacto relativa a la protection de datos como parte de una evaluation de impacto general en el contexto 
de la adoption de dicha base juridica, los apartados 1 a 7 no seran de aplicacion excepto si los Estados miembros 
consideran necesario proceder a dicha evaluation previa a las actividades de tratamiento. 

11. En caso necesario, el responsable examinara si el tratamiento es conforme con la evaluation de impacto relativa a 
la protection de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento. 


Articulo 36 


Consulta previa 


1. El responsable consultant a la autoridad de control antes de proceder al tratamiento cuando una evaluation de 
impacto relativa a la protection de los datos en virtud del articulo 35 muestre que el tratamiento entranaria un alto 
riesgo si el responsable no toma medidas para para mitigarlo. 

2. Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podria infringir 
el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la 
autoridad de control debera, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al 
responsable, y en su caso al encargado, y podra utilizar cualquiera de sus poderes mencionados en el articulo 58. Dicho 
plazo podra prorrogarse seis semanas, en funcion de la complejidad del tratamiento previsto. La autoridad de control 
informant al responsable y, en su caso, al encargado de tal prorroga en el plazo de un mes a partir de la reception de la 
solicitud de consulta, indicando los motivos de la dilation. Estos plazos podran suspenderse hasta que la autoridad de 
control haya obtenido la information solicitada a los fines de la consulta. 

3. Cuando consulte a la autoridad de control con arreglo al apartado 1, el responsable del tratamiento le facilitat'd la 
information siguiente: 

a) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el 
tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial; 

b) los fines y medios del tratamiento previsto; 

c) las medidas y garantias establecidas para proteger los derechos y libertades de los interesados de conformidad con el 
presente Reglamento; 

d) en su caso, los datos de contacto del delegado de protection de datos; 
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e) la evaluation de impacto relativa a la proteccion de datos establecida en el arti'culo 35, y 

f) cualquier otra information que solicite la autoridad de control. 

4. Los Estados miembros garantizaran que se consulte a la autoridad de control durante la elaboration de toda 
propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en 
dicha medida legislativa, que se refiera al tratamiento. 

5. No obstante lo dispuesto en el apartado 1, el Derecho de los Estados miembros podra obligar a los responsables 
del tratamiento a consultar a la autoridad de control y a recabar su autorizacion previa en relation con el tratamiento 
por un responsable en el ejercicio de una mision realizada en interes publico, en particular el tratamiento en relation 
con la proteccion social y la salud publica. 

Section 4 

Delegado de proteccion de datos 

Articulo 37 

Designation del delegado de proteccion de datos 

1. El responsable y el encargado del tratamiento designaran un delegado de proteccion de datos siempre que: 

a) el tratamiento lo lleve a cabo una autoridad u organismo publico, excepto los tribunales que actuen en ejercicio de su 
funcion judicial; 

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razon de 
su naturaleza, alcance y/o fines, requieran una observation habitual y sistematica de interesados a gran escala, o 

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categories 
especiales de datos personales con arreglo al articulo 9 y de datos relativos a condenas e infracciones penales a que se 
refiere el articulo 10. 

2. Un grupo empresarial podra nombrar un unico delegado de proteccion de datos siempre que sea facilmente 
accesible desde cada establecimiento. 

3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo publico, se podra designar 
un unico delegado de proteccion de datos para varias de estas autoridades u organismos, teniendo en cuenta su 
estructura organizativa y tamano. 

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las 
asociaciones y otros organismos que representen a categorias de responsables o encargados podran designar un delegado 
de proteccion de datos o deberan designarlo si asi lo exige el Derecho de la Union o de los Estados miembros. El 
delegado de proteccion de datos podra actuar por cuenta de estas asociaciones y otros organismos que representen a 
responsables o encargados. 

5. El delegado de proteccion de datos sera designado atendiendo a sus cualidades profesionales y, en particular, a sus 
conocimientos especializados del Derecho y la practica en materia de proteccion de datos y a su capacidad para 
desempenar las funciones indicadas en el articulo 39. 

6. El delegado de proteccion de datos podra formar parte de la plantilla del responsable o del encargado del 
tratamiento o desempenar sus funciones en el marco de un contrato de servicios. 

7. El responsable o el encargado del tratamiento publicaran los datos de contacto del delegado de proteccion de datos 
y los comunicaran a la autoridad de control. 


Articulo 38 

Position del delegado de proteccion de datos 

1. El responsable y el encargado del tratamiento garantizaran que el delegado de proteccion de datos participe de 
forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la proteccion de datos personales. 
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2. El responsable y el encargado del tratamiento respaldaran al delegado de proteccion de datos en el desempeno de 
las funciones mencionadas en el arti'culo 39, facilitando los recursos necesarios para el desempeno de dichas funciones y 
el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos 
especializados. 

3. El responsable y el encargado del tratamiento garantizaran que el delegado de proteccion de datos no reciba 
ninguna instruction en lo que respecta al desempeno de dichas funciones. No sera destituido ni sancionado por el 
responsable o el encargado por desempenar sus funciones. El delegado de proteccion de datos rendira cuentas 
directamente al mas alto nivel jerarquico del responsable o encargado. 

4. Los interesados podran ponerse en contacto con el delegado de proteccion de datos por lo que respecta a todas las 
cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente 
Reglamento. 

5. El delegado de proteccion de datos estara obligado a mantener el secreto o la confidencialidad en lo que respecta al 
desempeno de sus funciones, de conformidad con el Derecho de la Union o de los Estados miembros. 

6. El delegado de proteccion de datos podra desempenar otras funciones y cometidos. El responsable o encargado del 
tratamiento garantizara que dichas funciones y cometidos no den lugar a conflicto de intereses. 


Articulo 39 

Funciones del delegado de proteccion de datos 

1. El delegado de proteccion de datos tendra como minimo las siguientes funciones: 

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento 
de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de proteccion de 
datos de la Union o de los Estados miembros; 

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de proteccion de datos 
de la Union o de los Estados miembros y de las politicas del responsable o del encargado del tratamiento en materia 
de proteccion de datos personales, incluida la asignacion de responsabilidades, la concienciacion y formation del 
personal que participa en las operaciones de tratamiento, y las auditorias correspondientes; 

c) ofrecer el asesoramiento que se le solicite acerca de la evaluation de impacto relativa a la proteccion de datos y 
supervisar su aplicacion de conformidad con el articulo 35: 

d) cooperar con la autoridad de control; 

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la 
consulta previa a que se refiere el articulo 36, y realizar consultas, en su caso, sobre cualquier otro asunto. 

2. El delegado de proteccion de datos desempenara sus funciones prestando la debida atencion a los riesgos asociados 

a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. 


Seccion 5 

Codigos de conducta y certification 

Articulo 40 

Codigos de conducta 

1. Los Estados miembros, las autoridades de control, el Comite y la Comision promoveran la elaboration de codigos 
de conducta destinados a contribuir a la correcta aplicacion del presente Reglamento, teniendo en cuenta las caracte- 
risticas especificas de los distintos sectores de tratamiento y las necesidades especificas de las microempresas y las 
pequenas y medianas empresas. 

2. Las asociaciones y otros organismos representatives de categories de responsables o encargados del tratamiento 
podran elaborar codigos de conducta o modificar o ampliar dichos codigos con objeto de especificar la aplicacion del 
presente Reglamento, como en lo que respecta a: 


a) el tratamiento leal y transparente; 
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b) los intereses legitimos perseguidos por los responsables del tratamiento en contextos especificos; 

c) la recogida de datos personales; 

d) la seudonimizacion de datos personales; 

e) la informacion proporcionada al publico y a los interesados; 

f) el ejercicio de los derechos de los interesados; 

g) la informacion proporcionada a los ninos y la protection de estos, asi como la manera de obtener el consentimiento 
de los titulares de la patria potestad o tutela sobre el nino; 

h) las medidas y procedimientos a que se refieren los arti'culos 24 y 25 y las medidas para garantizar la seguridad del 
tratamiento a que se refiere el articulo 32; 

i) la notification de violaciones de la seguridad de los datos personales a las autoridades de control y la comunicacion 
de dichas violaciones a los interesados; 

j) la transferencia de datos personales a terceros paises u organizaciones internacionales, o 

k) los procedimientos extrajudiciales y otros procedimientos de resolution de conflictos que permitan resolver las 
controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los 
derechos de los interesados en virtud de los arti'culos 77 y 79. 

3. Ademas de la adhesion de los responsables o encargados del tratamiento a los que se aplica el presente 
Reglamento, los responsables o encargados a los que no se aplica el presente Reglamento en virtud del articulo 3 podran 
adherirse tambien a codigos de conducta aprobados de conformidad con el apartado 5 del presente articulo y que 
tengan validez general en virtud del apartado 9 del presente articulo, a fin de ofrecer garantias adecuadas en el marco de 
las transferencias de datos personales a terceros paises u organizaciones internacionales a tenor del articulo 46, 
apartado 2, letra e). Dichos responsables o encargados deberan asumir compromisos vinculantes y exigibles, por via 
contractual o mediante otros instrumentos juridicamente vinculantes, para aplicar dichas garantias adecuadas, incluidas 
las relativas a los derechos de los interesados. 

4. El codigo de conducta a que se refiere el apartado 2 del presente articulo contendra mecanismos que permitan al 
organismo mencionado en el articulo 41, apartado 1, efectuar el control obligatorio del cumplimiento de sus disposi- 
ciones por los responsables o encargados de tratamiento que se comprometan a aplicarlo, sin perjuicio de las funciones 
y los poderes de las autoridades de control que sean competentes con arreglo al articulo 51 o 56. 

5. Las asociaciones y otros organismos mencionados en el apartado 2 del presente articulo que proyecten elaborar un 
codigo de conducta o modificar o ampliar un codigo existente presentaran el proyecto de codigo o la modification o 
ampliation a la autoridad de control que sea competente con arreglo al articulo 55. La autoridad de control dictaminara 
si el proyecto de codigo o la modification o ampliation es conforme con el presente Reglamento y aprobara dicho 
proyecto de codigo, modification o ampliation si considera suficientes las garantias adecuadas ofrecidas. 

6. Si el proyecto de codigo o la modification o ampliation es aprobado de conformidad con el apartado 5 y el 
codigo de conducta de que se trate no se refiere a actividades de tratamiento en varios Estados miembros, la autoridad 
de control registrant y publicara el codigo. 

7. Si un proyecto de codigo de conducta guarda relation con actividades de tratamiento en varios Estados miembros, 
la autoridad de control que sea competente en virtud del articulo 5 5 lo presentara por el procedimiento mencionado en 
el articulo 63, antes de su aprobacion o de la modification o ampliation, al Comite, el cual dictaminara si dicho 
proyecto, modification o ampliation es conforme con el presente Reglamento o, en la situation indicada en el 
apartado 3 del presente articulo, ofrece garantias adecuadas. 

8. Si el dictamen a que se refiere el apartado 7 confirma que el proyecto de codigo o la modification o ampliation 
cumple lo dispuesto en el presente Reglamento o, en la situation indicada en el apartado 3, ofrece garantias adecuadas, 
el Comite presentara su dictamen a la Comision. 

9. La Comision podra, mediante actos de execution, decidir que el codigo de conducta o la modification o ampliation 
aprobados y presentados con arreglo al apartado 8 del presente articulo tengan validez general dentro de la Union. 
Dichos actos de execution se adoptaran con arreglo al procedimiento de examen a que se refiere el articulo 93, 
apartado 2. 
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10. La Comision dara publicidad adecuada a los codigos aprobados cuya validez general haya sido decidida de 
conformidad con el apartado 9. 

11. El Comite archivara en un registro todos los codigos de conducta, modificaciones y ampliaciones que se 
aprueben, y los pondra a disposition publica por cualquier medio apropiado. 


Articulo 41 


Supervision de codigos de conducta aprobados 


1. Sin perjuicio de las funciones y los poderes de la autoridad de control competente en virtud de los articulos 57 
y 58, podra supervisar el cumplimiento de un codigo de conducta en virtud del articulo 40 un organismo que tenga el 
nivel adecuado de pericia en relacion con el objeto del codigo y que haya sido acreditado para tal fin por la autoridad de 
control competente. 

2. El organismo a que se refiere el apartado 1 podra ser acreditado para supervisar el cumplimiento de un codigo de 
conducta si: 

a) ha demostrado, a satisfaccion de la autoridad de control competente, su independencia y pericia en relacion con el 
objeto del codigo; 

b) ha establecido procedimientos que le permitan evaluar la idoneidad de los responsables y encargados correspon- 
dientes para aplicar el codigo, supervisar el cumplimiento de sus disposiciones y examinar periodicamente su 
aplicacion; 

c) ha establecido procedimientos y estructuras para tratar las reclamaciones relativas a infracciones del codigo o a la 
manera en que el codigo haya sido o este siendo aplicado por un responsable o encargado del tratamiento, y para 
hacer dichos procedimientos y estructuras transparentes para los interesados y el publico, y 

d) ha demostrado, a satisfaccion de la autoridad de control competente, que sus funciones y cometidos no dan lugar a 
conflicto de intereses. 

3. La autoridad de control competente sometera al Comite, con arreglo al mecanismo de coherencia a que se refiere 
el articulo 63, el proyecto que fije los criterios de acreditacion de un organismo a que se refiere el apartado 1 del 
presente articulo. 

4. Sin perjuicio de las funciones y los poderes de la autoridad de control competente y de lo dispuesto en el 
capitulo VIII, un organismo a tenor del apartado 1 del presente articulo debera, con sujecion a garantias adecuadas, 
tomar las medidas oportunas en caso de infraction del codigo por un responsable o encargado del tratamiento, incluida 
la suspension o exclusion de este. Informant de dichas medidas y de las razones de las mismas a la autoridad de control 
competente. 


5. La autoridad de control competente revocara la acreditacion de un organismo a tenor del apartado 1 si las 
condiciones de la acreditacion no se cumplen o han dejado de cumplirse, o si la actuation de dicho organismo infringe 
el presente Reglamento. 

6. El presente articulo no se aplicara al tratamiento realizado por autoridades y organismos publicos. 


Articulo 42 


Certification 


1. Los Estados miembros, las autoridades de control, el Comite y la Comision promoveran, en particular a nivel de la 
Union, la creation de mecanismos de certificacion en materia de protection de datos y de sellos y marcas de protection 
de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de 
tratamiento de los responsables y los encargados. Se tendran en cuenta las necesidades especificas de las microempresas 
y las pequenas y medianas empresas. 
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2. Ademas de la adhesion de los responsables o encargados del tratamiento sujetos al presente Reglamento, podran 
establecerse mecanismos de certificacion, sellos o marcas de proteccion de datos aprobados de conformidad con el 
apartado 5, con objeto de demostrar la existencia de garantias adecuadas ofrecidas por los responsables o encargados no 
sujetos al presente Reglamento con arreglo al articulo 3 en el marco de transferencias de datos personales a terceros 
pafses u organizaciones internacionales a tenor del articulo 46, apartado 2, letra f). Dichos responsables o encargados 
deberan asumir compromisos vinculantes y exigibles, por via contractual o mediante otros instrumentos juridicamente 
vinculantes, para aplicar dichas garantias adecuadas, incluidas las relativas a los derechos de los interesados. 


3. La certificacion sera voluntaria y estara disponible a traves de un proceso transparente. 

4. La certificacion a que se refiere el presente articulo no limitara la responsabilidad del responsable o encargado del 
tratamiento en cuanto al cumplimiento del presente Reglamento y se entendera sin perjuicio de las funciones y los 
poderes de las autoridades de control que sean competentes en virtud del articulo 55 o 56. 


5. La certificacion en virtud del presente articulo sera expedida por los organismos de certificacion a que se refiere el 
articulo 43 o por la autoridad de control competente, sobre la base de los criterios aprobados por dicha autoridad de 
conformidad con el articulo 58, apartado 3, o por el Comite de conformidad con el articulo 63. Cuando los criterios 
sean aprobados por el Comite, esto podra dar lugar a una certificacion comun: el Sello Europeo de Proteccion de Datos. 


6. Los responsables o encargados que sometan su tratamiento al mecanismo de certificacion dara al organismo de 
certificacion mencionado en el articulo 43, o en su caso a la autoridad de control competente, toda la information y 
acceso a sus actividades de tratamiento que necesite para llevar a cabo el procedimiento de certificacion. 


7. La certificacion se expedira a un responsable o encargado de tratamiento por un periodo maximo de tres anos y 
podra ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes. La 
certificacion sera retirada, cuando proceda, por los organismos de certificacion a que se refiere el articulo 43, o en su 
caso por la autoridad de control competente, cuando no se cumplan o se hayan dejado de cumplir los requisitos para la 
certificacion. 


8. El Comite archivara en un registro todos los mecanismos de certificacion y sellos y marcas de proteccion de datos 
y los pondra a disposition publica por cualquier medio apropiado. 


Articulo 43 


Organismo de certificacion 


1. Sin perjuicio de las funciones y poderes de la autoridad de control competente en virtud de los articulos 57 y 58, 
los organismos de certificacion que tengan un nivel adecuado de pericia en materia de proteccion de datos expediran y 
renovaran las certificaciones una vez informada la autoridad de control, a fin de esta que pueda ejercer, si asi se requiere, 
sus poderes en virtud del articulo 58, apartado 2, letra h). Los Estados miembros garantizaran que dichos organismos de 
certificacion sean acreditados por la autoridad o el organismo indicado a continuation, o por ambos: 

a) la autoridad de control que sea competente en virtud del articulo 55 o 56; 

b) el organismo nacional de acreditacion designado de conformidad con el Reglamento (CE) n.° 765/2008 del 
Parlamento Europeo y del Consejo ( ! ) con arreglo a la norma EN ISO/IEC 17065/2012 y a los requisitos adicionales 
establecidos por la autoridad de control que sea competente en virtud del articulo 55 o 56. 

2. Los organismos de certificacion mencionados en el apartado 1 unicamente seran acreditados de conformidad con 
dicho apartado si: 

a) han demostrado, a satisfaction de la autoridad de control competente, su independencia y su pericia en relation con 
el objeto de la certificacion; 


(') Reglamento (CE) n.° 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de 
acreditacion y vigilancia del mercado relativos a la comercializacion de los productos y por el que se deroga el Reglamento (CEE) 
n.° 339/93 (DO L 218 de 13.8.2008, p. 30). 
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b) se han comprometido a respetar los criterios mencionados en el articulo 42, apartado 5, y aprobados por la 
autoridad de control que sea competente en virtud del articulo 55 o 56, o por el Comite de conformidad con el 
articulo 63; 

c) han establecido procedimientos para la expedicion, la revision periodica y la retirada de certificaciones, sellos y 
marcas de protection de datos; 

d) han establecido procedimientos y estructuras para tratar las reclamaciones relativas a infracciones de la certification o 
a la manera en que la certification haya sido o este siendo aplicada por un responsable o encargado del tratamiento, 
y para hacer dichos procedimientos y estructuras transparentes para los interesados y el publico, y 

e) han demostrado, a satisfaction de la autoridad de control competente, que sus funciones y cometidos no dan lugar a 
conflicto de intereses. 

3. La acreditacion de los organismos de certification a que se refieren los apartados 1 y 2 del presente articulo se 
realizara sobre la base de los criterios aprobados por la autoridad de control que sea competente en virtud del 
articulo 55 o 56, o por el Comite de conformidad con el articulo 63. En caso de acreditacion de conformidad con el 
apartado 1, letra b), del presente articulo, estos requisitos complementary los contemplados en el Reglamento (CE) 
n.° 765/2008 y las normas tecnicas que describen los metodos y procedimientos de los organismos de certification. 

4. Los organismos de certification a que se refiere el apartado 1 seran responsable de la correcta evaluation a efectos 
de certification o retirada de la certification, sin perjuicio de la responsabilidad del responsable o del encargado del 
tratamiento en cuanto al cumplimiento del presente Reglamento. La acreditacion se expedira por un periodo maximo de 
cinco anos y podra ser renovada en las mismas condiciones, siempre y cuando el organismo de certification cumpla los 
requisitos establecidos en el presente articulo. 

5. Los organismos de certification a que se refiere el apartado 1 comunicaran a las autoridades de control 
competentes las razones de la expedicion de la certification solicitada o de su retirada. 

6. La autoridad de control hara publicos los requisitos a que se refiere el apartado 3 del presente articulo y los 
criterios a que se a refiere el articulo 42, apartado 5, en una forma facilmente accesible. Las autoridades de control 
comunicaran tambien dichos requisitos y criterios al Comite. El Comite archivara en un registro todos los mecanismos 
de certification y sellos de protection de datos y los pondra a disposition publica por cualquier medio apropiado. 

7. No obstante lo dispuesto en el capitulo VIII, la autoridad de control competente o el organismo nacional de 
acreditacion revocara la acreditacion a un organismo de certification a tenor del apartado 1 del presente articulo si las 
condiciones de la acreditacion no se cumplen o han dejado de cumplirse, o si la actuation de dicho organismo de certifi¬ 
cation infringe el presente Reglamento. 


8. La Comision estara facultada para adoptar actos delegados, de conformidad con el articulo 92, a fin de especificar 
las condiciones que deberan tenerse en cuenta para los mecanismos de certification en materia de protection de datos a 
que se refiere el articulo 42, apartado 1. 

9. La Comision podra adoptar actos de ejecucion que establezcan normas tecnicas para los mecanismos de certifi¬ 
cation y los sellos y marcas de protection de datos, y mecanismos para promover y reconocer dichos mecanismos de 
certification, sellos y marcas. Dichos actos de ejecucion se adoptaran con arreglo al procedimiento de examen a que se 
refiere el articulo 93, apartado 2. 


CAPITULO V 

Transferencias de datos personates a terceros paises u organizaciones internacionales 


Articulo 44 


Principio general de las transferencias 


Solo se realizaran transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia 
a un tercer pais u organization international si, a reserva de las demas disposiciones del presente Reglamento, el 
responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capitulo, incluidas las 
relativas a las transferencias ulteriores de datos personales desde el tercer pais u organization internacional a otro tercer 
pais u otra organization internacional. Todas las disposiciones del presente capitulo se aplicaran a fin de asegurar que el 
nivel de protection de las personas fisicas garantizado por el presente Reglamento no se vea menoscabado. 
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Articulo 45 


Transferencias basadas en una decision de adecuacion 


1. Podra realizarse una transferencia de datos personales a un tercer pais u organizacion internacional cuando la 
Comision haya decidido que el tercer pais, un territorio o uno o varios sectores especificos de ese tercer pais, o la 
organizacion internacional de que se trate garantizan un nivel de protection adecuado. Dicha transferencia no requerira 
ninguna autorizacion especifica. 

2. Al evaluar la adecuacion del nivel de protection, la Comision tendra en cuenta, en particular, los siguientes 
elementos: 

a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislation pertinente, 
tanto general como sectorial, incluida la relativa a la seguridad publica, la defensa, la seguridad nacional y la 
legislation penal, y el acceso de las autoridades publicas a los datos personales, asi como la aplicacion de dicha 
legislation, las normas de protection de datos, las normas profesionales y las medidas de seguridad, incluidas las 
normas sobre transferencias ulteriores de datos personales a otro tercer pais u organizacion internacional observadas 
en ese pais u organizacion internacional, la jurisprudencia, asi como el reconocimiento a los interesados cuyos datos 
personales esten siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones 
judiciales que sean efectivos; 

b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer pais o a 
las cuales este sujeta una organizacion internacional, con la responsabilidad de garantizar y hacer cumplir las normas 
en materia de protection de datos, incluidos poderes de ejecucion adecuados, de asistir y asesorar a los interesados en 
el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Union y de los Estados miembros, y 

c) los compromisos internacionales asumidos por el tercer pais u organizacion internacional de que se trate, u otras 
obligaciones derivadas de acuerdos o instrumentos juridicamente vinculantes, asi como de su participation en 
sistemas multilaterales o regionales, en particular en relation con la protection de los datos personales. 

3. La Comision, tras haber evaluado la adecuacion del nivel de protection, podra decidir, mediante un acto de 
ejecucion, que un tercer pais, un territorio o uno o varios sectores especificos de un tercer pais, o una organizacion 
internacional garantizan un nivel de protection adecuado a tenor de lo dispuesto en el apartado 2 del presente articulo. 
El acto de ejecucion establecera un mecanismo de revision periodica, al menos cada cuatro anos, que tenga en cuenta 
todos los acontecimientos relevantes en el tercer pais o en la organizacion internacional. El acto de ejecucion especificara 
su ambito de aplicacion territorial y sectorial, y, en su caso, determinara la autoridad o autoridades de control a que se 
refiere el apartado 2, letra b), del presente articulo. El acto de ejecucion se adoptara con arreglo al procedimiento de 
examen a que se refiere el articulo 93, apartado 2. 

4. La Comision supervisara de manera continuada los acontecimientos en paises terceros y organizaciones interna¬ 
cionales que puedan afectar a la efectiva aplicacion de las decisiones adoptadas con arreglo al apartado 3 del presente 
articulo y de las decisiones adoptadas sobre la base del articulo 25, apartado 6, de la Directiva 95/46/CE. 

5. Cuando la information disponible, en particular tras la revision a que se refiere el apartado 3 del presente articulo, 
muestre que un tercer pais, un territorio o un sector especifico de ese tercer pais, o una organizacion internacional ya 
no garantiza un nivel de protection adecuado a tenor del apartado 2 del presente articulo, la Comision, mediante actos 
de ejecucion, derogara, modificara o suspendera, en la medida necesaria y sin efecto retroactivo, la decision a que se 
refiere el apartado 3 del presente articulo. Dichos actos de ejecucion se adoptaran de acuerdo con el procedimiento de 
examen a que se refiere el articulo 93, apartado 2. 


Por razones imperiosas de urgencia debidamente justificadas, la Comision adoptara actos de ejecucion inmediatamente 
aplicables de conformidad con el procedimiento a que se refiere el articulo 93, apartado 3. 

6 La Comision entablara consultas con el tercer pais u organizacion internacional con vistas a poner remedio a la 
situation que de lugar a la decision adoptada de conformidad con el apartado 5. 

7. Toda decision de conformidad con el apartado 5 del presente articulo se entendera sin perjuicio de las transfe¬ 
rencias de datos personales al tercer pais, a un territorio o uno o varios sectores especificos de ese tercer pais, o a la 
organizacion internacional de que se trate en virtud de los articulos 46 a 49. 


8. La Comision publicara en el Diario Oficial de la Union Europea y en su pagina web una lista de terceros paises, 
territories y sectores especificos en un tercer pais, y organizaciones internacionales respecto de los cuales haya decidido 
que se garantiza, o ya no, un nivel de protection adecuado. 
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9. Las decisiones adoptadas por la Comision en virtud del articulo 25, apartado 6, de la Directiva 95/46/CE 
permaneceran en vigor hasta que sean modificadas, sustituidas o derogadas por una decision de la Comision adoptada 
de conformidad con los apartados 3 o 5 del presente articulo. 


Articulo 46 

Transferencias mediante garantias adecuadas 

1. A falta de decision con arreglo al articulo 45, apartado 3, el responsable o el encargado del tratamiento solo podra 
transmitir datos personales a un tercer pais u organizacion internacional si hubiera ofrecido garantias adecuadas y a 
condition de que los interesados cuenten con derechos exigibles y acciones legales efectivas. 

2. Las garantias adecuadas con arreglo al apartado 1 podran ser aportadas, sin que se requiera ninguna autorizacion 
expresa de una autoridad de control, por: 

a) un instrumento juridicamente vinculante y exigible entre las autoridades u organismos publicos; 

b) normas corporativas vinculantes de conformidad con el articulo 47; 

c) clausulas tipo de protection de datos adoptadas por la Comision de conformidad con el procedimiento de examen a 
que se refiere el articulo 93, apartado 2; 

d) clausulas tipo de protection de datos adoptadas por una autoridad de control y aprobadas por la Comision con 
arreglo al procedimiento de examen a que se refiere en el articulo 9 3, apartado 2; 

e) un codigo de conducta aprobado con arreglo al articulo 40, junto con compromises vinculantes y exigibles del 
responsable o el encargado del tratamiento en el tercer pais de aplicar garantias adecuadas, incluidas la relativas a los 
derechos de los interesados, o 

f) un mecanismo de certification aprobado con arreglo al articulo 42, junto con compromisos vinculantes y exigibles 
del responsable o el encargado del tratamiento en el tercer pais de aplicar garantias adecuadas, incluidas la relativas a 
los derechos de los interesados. 

3. Siempre que exista autorizacion de la autoridad de control competente, las garantias adecuadas contempladas en el 
apartado 1 podran igualmente ser aportadas, en particular, mediante: 

a) clausulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos 
personales en el tercer pais u organizacion internacional, o 

b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos publicos que 
incluyan derechos efectivos y exigibles para los interesados. 

4. La autoridad de control aplicara el mecanismo de coherencia a que se refiere el articulo 63 en los casos indicados 
en el apartado 3 del presente articulo. 

5. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el 
articulo 26, apartado 2, de la Directiva 95/46/CE seguiran siendo validas hasta que hayan sido modificadas, sustituidas o 
derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comision en virtud del 
articulo 26, apartado 4, de la Directiva 95/46/CE permaneceran en vigor hasta que sean modificadas, sustituidas o 
derogadas, en caso necesario, por una decision de la Comision adoptada de conformidad con el apartado 2 del presente 
articulo. 


Articulo 47 

Normas corporativas vinculantes 

1. La autoridad de control competente aprobara normas corporativas vinculantes de conformidad con el mecanismo 
de coherencia establecido en el articulo 63, siempre que estas: 

a) sean juridicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo 
empresarial o de la union de empresas dedicadas a una actividad economica conjunta, incluidos sus empleados; 
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b) confieran expresamente a los interesados derechos exigibles en relacion con el tratamiento de sus datos personales, y 

c) cumplan los requisitos establecidos en el apartado 2. 

2. Las normas corporativas vinculantes mencionadas en el apartado 1 especificaran, como mi'nimo, los siguientes 

elementos: 

a) la estructura y los datos de contacto del grupo empresarial o de la union de empresas dedicadas a una actividad 
economica conjunta y de cada uno de sus miembros; 

b) las transferences o conjuntos de transferencias de datos, incluidas las categories de datos personales, el tipo de 
tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros paises en cuestion; 

c) su caracter juridicamente vinculante, tanto a nivel interno como externo; 

d) la aplicacion de los principios generales en materia de proteccion de datos, en particular la limitation de la finalidad, 
la minimization de los datos, los periodos de conservation limitados, la calidad de los datos, la proteccion de los 
datos desde el disefio y por defecto, la base del tratamiento, el tratamiento de categories especiales de datos 
personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transfe¬ 
rencias ulteriores a organismos no vinculados por las normas corporativas vinculantes; 

e) los derechos de los interesados en relacion con el tratamiento y los medios para ejercerlos, en particular el derecho a 
no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboration de 
perfiles de conformidad con lo dispuesto en el articulo 22, el derecho a presentar una reclamation ante la autoridad 
de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el 
articulo 79, y el derecho a obtener una reparation, y, cuando proceda, una indemnizacion por violation de las 
normas corporativas vinculantes; 

f) la aceptacion por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado 
miembro de la responsabilidad por cualquier violation de las normas corporativas vinculantes por parte de cualquier 
miembro de que se trate no establecido en la Union; el responsable o el encargado solo sera exonerado, total o 
parcialmente, de dicha responsabilidad si demuestra que el acto que origino los danos y perjuicios no es imputable a 
dicho miembro; 

g) la forma en que se facilita a los interesados la information sobre las normas corporativas vinculantes, en particular 
en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del presente apartado, ademas de los 
articulos 13 y 14; 

h) las funciones de todo delegado de proteccion de datos designado de conformidad con el articulo 37, o de cualquier 
otra persona o entidad encargada de la supervision del cumplimiento de las normas corporativas vinculantes dentro 
del grupo empresarial o de la union de empresas dedicadas a una actividad economica conjunta, asi como de la 
supervision de la formation y de la tramitacion de las reclamaciones; 

i) los procedimientos de reclamation; 

j) los mecanismos establecidos dentro del grupo empresarial o de la union de empresas dedicadas a una actividad 
economica conjunta para garantizar la verification del cumplimiento de las normas corporativas vinculantes. Dichos 
mecanismos incluiran auditorias de proteccion de datos y metodos para garantizar acciones correctivas para proteger 
los derechos del interesado. Los resultados de dicha verification deberian comunicarse a la persona o entidad a que 
se refiere la letra h) y al consejo de administration de la empresa que controla un grupo empresarial, o de la union 
de empresas dedicadas a una actividad economica conjunta, y ponerse a disposition de la autoridad de control 
competente que lo solicite; 

k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para 
notificar esas modificaciones a la autoridad de control; 

l) el mecanismo de cooperation con la autoridad de control para garantizar el cumplimiento por parte de cualquier 
miembro del grupo empresarial o de la union de empresas dedicadas a una actividad economica conjunta, en 
particular poniendo a disposition de la autoridad de control los resultados de las verificaciones de las medidas 
contempladas en la letra j); 

m) los mecanismos para informar a la autoridad de control competente de cualquier requisito juridico de aplicacion en 
un pais tercero a un miembro del grupo empresarial o de la union de empresas dedicadas a una actividad economica 
conjunta, que probablemente tengan un efecto adverso sobre las garantfas establecidas en las normas corporativas 
vinculantes, y 

n) la formation en proteccion de datos pertinente para el personal que tenga acceso permanente o habitual a datos 
personales. 
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3. La Comision podra especificar el formato y los procedimientos para el intercambio de informacion entre los 
responsables, los encargados y las autoridades de control en relation con las normas corporativas vinculantes a tenor de 
lo dispuesto en el presente arti'culo. Dichos actos de ejecucion se adoptaran con arreglo al procedimiento de examen a 
que se refiere el arti'culo 93, apartado 2. 


Articulo 48 


Transferencias o comunicaciones no autorizadas por el Derecho de la Union 


Cualquier sentencia de un organo jurisdiccional o decision de una autoridad administrativa de un tercer pal's que exijan 
que un responsable o encargado del tratamiento transfiera o comunique datos personales unicamente sera reconocida o 
ejecutable en cualquier modo si se basa en un acuerdo international, como un tratado de asistencia juridica mutua, 
vigente entre el pais tercero requirente y la Union o un Estado miembro, sin perjuicio de otros motivos para la transfe- 
rencia al amparo del presente capitulo. 


Articulo 49 


Excepciones para situaciones especificas 


1. En ausencia de una decision de adecuacion de conformidad con el articulo 45, apartado 3, o de garantias 
adecuadas de conformidad con el articulo 46, incluidas las normas corporativas vinculantes, una transferencia o un 
conjunto de transferencias de datos personales a un tercer pais u organization internacional unicamente se realizara si se 
cumple alguna de las condiciones siguientes: 

a) el interesado haya dado explicitamente su consentimiento a la transferencia propuesta, tras haber sido informado de 
los posibles riesgos para el de dichas transferencias debido a la ausencia de una decision de adecuacion y de garantias 
adecuadas; 

b) la transferencia sea necesaria para la ejecucion de un contrato entre el interesado y el responsable del tratamiento o 
para la ejecucion de medidas precontractuales adoptadas a solicitud del interesado; 

c) la transferencia sea necesaria para la celebration o ejecucion de un contrato, en interes del interesado, entre el 
responsable del tratamiento y otra persona fisica o juridica; 

d) la transferencia sea necesaria por razones importantes de interes publico; 

e) la transferencia sea necesaria para la formulation, el ejercicio o la defensa de reclamaciones; 

f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el 
interesado este fisica o juridicamente incapacitado para dar su consentimiento; 

g) la transferencia se realice desde un registro publico que, con arreglo al Derecho de la Union o de los Estados 
miembros, tenga por objeto facilitar informacion al publico y este abierto a la consulta del publico en general o de 
cualquier persona que pueda acreditar un interes legitimo, pero solo en la medida en que se cumplan, en cada caso 
particular, las condiciones que establece el Derecho de la Union o de los Estados miembros para la consulta. 

Cuando una transferencia no pueda basarse en disposiciones de los articulos 45 o 46, incluidas las disposiciones sobre 
normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones especificas a que se 
refiere el parrafo primero del presente apartado, solo se podra llevar a cabo si no es repetitiva, afecta solo a un numero 
limitado de interesados, es necesaria a los fines de intereses legitimos imperiosos perseguidos por el responsable del 
tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del 
tratamiento evaluo todas las circunstancias concurrentes en la transferencia de datos y, basandose en esta evaluation, 
ofrecio garantias apropiadas con respecto a la protection de datos personales. El responsable del tratamiento informara a 
la autoridad de control de la transferencia. Ademas de la informacion a que hacen referencia los articulos 13 y 14, el 
responsable del tratamiento informara al interesado de la transferencia y de los intereses legitimos imperiosos 
perseguidos. 

2. Una transferencia efectuada de conformidad con el apartado 1, parrafo primero, letra g), no abarcara la totalidad 
de los datos personales ni categorfas enteras de datos personales contenidos en el registro. Si la finalidad del registro es 
la consulta por parte de personas que tengan un interes legitimo, la transferencia solo se efectuara a solicitud de dichas 
personas o si estas han de ser las destinatarias. 
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3. En el apartado 1, el parrafo primero, letras a), b) y c), y el parrafo segundo no seran aplicables a las actividades 
llevadas a cabo por las autoridades publicas en el ejercicio de sus poderes publicos. 

4. El interes publico contemplado en el apartado 1, parrafo primero, letra d), sera reconocido por el Derecho de la 
Union o de los Estados miembros que se aplique al responsable del tratamiento. 

5. En ausencia de una decision por la que se constate la adecuacion de la proteccion de los datos, el Derecho de la 
Union o de los Estados miembros podra, por razones importantes de interes publico, establecer expresamente limites a 
la transferencia de categories especificas de datos a un tercer pais u organization internacional. Los Estados miembros 
notificaran a la Comision dichas disposiciones. 

6. El responsable o el encargado del tratamiento documentaran en los registros indicados en el articulo 30 la 
evaluation y las garantias apropiadas a que se refiere el apartado 1, parrafo segundo, del presente articulo. 


Articulo 50 

Cooperation international en el ambito de la proteccion de datos personales 

En relation con los terceros paises y las organizaciones internacionales, la Comision y las autoridades de control 
tomaran medidas apropiadas para: 

a) crear mecanismos de cooperation internacional que faciliten la aplicacion eficaz de la legislation relativa a la 
proteccion de datos personales; 

b) prestarse mutuamente asistencia a escala internacional en la aplicacion de la legislation relativa a la proteccion de 
datos personales, en particular mediante la notification, la remision de reclamaciones, la asistencia en las investiga- 
ciones y el intercambio de information, a reserva de las garantias adecuadas para la proteccion de los datos 
personales y otros derechos y libertades fundamentales; 

c) asociar a partes interesadas en la materia a los debates y actividades destinados a reforzar la cooperation internacional 
en la aplicacion de la legislation relativa a la proteccion de datos personales; 

d) promover el intercambio y la documentation de la legislation y las practicas en materia de proteccion de datos 
personales, inclusive en materia de conflictos de jurisdiction con terceros paises. 

CAPITULO VI 

Autoridades de control independientes 

Seccion 1 

Independencia 

Articulo 51 

Autoridad de control 

1. Cada Estado miembro establecera que sea responsabilidad de una o varias autoridades publicas independientes (en 
adelante «autoridad de control®) supervisar la aplicacion del presente Reglamento, con el fin de proteger los derechos y 
las libertades fundamentales de las personas fisicas en lo que respecta al tratamiento y de facilitar la libre circulation de 
datos personales en la Union. 

2. Cada autoridad de control contribuira a la aplicacion coherente del presente Reglamento en toda la Union. A tal 
fin, las autoridades de control cooperaran entre si y con la Comision con arreglo a lo dispuesto en el capitulo VII. 

3. Cuando haya varias autoridades de control en un Estado miembro, este designara la autoridad de control que 
representara a dichas autoridades en el Comite, y establecera el mecanismo que garantice el cumplimiento por las demas 
autoridades de las normas relativas al mecanismo de coherencia a que se refiere el articulo 63. 

4. Cada Estado miembro notificara a la Comision las disposiciones legales que adopte de conformidad con el presente 
capitulo a mas tardar el 25 de mayo de 2018 y, sin dilation, cualquier modification posterior que afecte a dichas disposi¬ 
ciones. 
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Articulo 52 

Independencia 

1. Cada autoridad de control actuara con total independencia en el desempeno de sus funciones y en el ejercicio de 
sus poderes de conformidad con el presente Reglamento. 

2. El miembro o los miembros de cada autoridad de control seran ajenos, en el desempeno de sus funciones y en el 
ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, 
y no solicitaran ni admitiran ninguna instruction. 

3. El miembro o los miembros de cada autoridad de control se abstendran de cualquier action que sea incompatible 
con sus funciones y no participaran, mientras dure su mandato, en ninguna actividad profesional que sea incompatible, 
remunerada o no. 

4. Cada Estado miembro garantizara que cada autoridad de control disponga en todo momento de los recursos 
humanos, tecnicos y financieros, asi como de los locales y las infraestructuras necesarios para el cumplimiento efectivo 
de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, 
la cooperation y la participation en el Comite. 

5. Cada Estado miembro garantizara que cada autoridad de control elija y disponga de su propio personal, que estara 

sujeto a la autoridad exclusiva del miembro o miembros de la autoridad de control interesada. 

6. Cada Estado miembro garantizara que cada autoridad de control este sujeta a un control financiero que no afecte a 

su independencia y que disponga de un presupuesto anual, publico e independiente, que podra formar parte del 

presupuesto general del Estado o de otro ambito nacional. 


Articulo 53 

Condiciones generales aplicables a los miembros de la autoridad de control 

1. Los Estados miembros dispondran que cada miembro de sus autoridades de control sea nombrado mediante un 
procedimiento transparente por: 

— su Parlamento, 

— su Gobierno, 

— su Jefe de Estado, o 

— un organismo independiente encargado del nombramiento en virtud del Derecho de los Estados miembros. 

2. Cada miembro poseera la titulacion, la experiencia y las aptitudes, en particular en el ambito de la protection de 
datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes. 

3. Los miembros daran por concluidas sus funciones en caso de termination del mandato, dimision o jubilation 
obligatoria, de conformidad con el Derecho del Estado miembro de que se trate. 

4. Un miembro sera destituido unicamente en caso de conducta irregular grave o si deja de cumplir las condiciones 
exigidas en el desempeno de sus funciones. 


Articulo 54 

Normas relativas al establecimiento de la autoridad de control 

1. Cada Estado miembro establecera por ley todos los elementos indicados a continuation: 
a) el establecimiento de cada autoridad de control; 
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b) las cualificaciones y condiciones de idoneidad necesarias para ser nombrado miembro de cada autoridad de control; 

c) las normas y los procedimientos para el nombramiento del miembro o miembros de cada autoridad de control; 

d) la duration del mandato del miembro o los miembros de cada autoridad de control, no inferior a cuatro anos, salvo 
el primer nombramiento posterior al 24 de mayo de 2016, parte del cual podra ser mas breve cuando sea necesario 
para proteger la independence de la autoridad de control por medio de un procedimiento de nombramiento 
escalonado; 

e) el caracter renovable o no del mandato del miembro o los miembros de cada autoridad de control y, en su caso, el 
numero de veces que podra renovarse; 

f) las condiciones por las que se rigen las obligaciones del miembro o los miembros y del personal de cada autoridad 
de control, las prohibiciones relativas a acciones, ocupaciones y prestaciones incompatibles con el cargo durante el 
mandato y despues del mismo, y las normas que rigen el cese en el empleo. 

2. El miembro o miembros y el personal de cada autoridad de control estaran sujetos, de conformidad con el 
Derecho de la Union o de los Estados miembros, al deber de secreto profesional, tanto durante su mandato como 
despues del mismo, con relation a las informaciones confidenciales de las que hayan tenido conocimiento en el 
cumplimiento de sus funciones o el ejercicio de sus poderes. Durante su mandato, dicho deber de secreto profesional se 
aplicara en particular a la information recibida de personas fisicas en relation con infracciones del presente Reglamento. 


Section 2 

Competencia, funciones y poderes 


Articulo 55 


Competencia 


1. Cada autoridad de control sera competente para desempenar las funciones que se le asignen y ejercer los poderes 
que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro. 

2. Cuando el tratamiento sea efectuado por autoridades publicas o por organismos privados que actuen con arreglo 
al articulo 6, apartado 1, letras c) o e), sera competente la autoridad de control del Estado miembro de que se trate. No 
sera aplicable en tales casos el articulo 56. 

3. Las autoridades de control no seran competentes para controlar las operaciones de tratamiento efectuadas por los 
tribunales en el ejercicio de su funcion judicial. 


Articulo 56 


Competencia de la autoridad de control principal 


1. Sin perjuicio de lo dispuesto en el articulo 55, la autoridad de control del establecimiento principal o del unico 
establecimiento del responsable o del encargado del tratamiento sera competente para actuar como autoridad de control 
principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al 
procedimiento establecido en el articulo 60. 

2. No obstante lo dispuesto en el apartado 1, cada autoridad de control sera competente para tratar una reclamation 
que le sea presentada o una posible infraction del presente Reglamento, en caso de que se refiera unicamente a un 
establecimiento situado en su Estado miembro o unicamente afecte de manera sustancial a interesados en su Estado 
miembro. 


3. En los casos a que se refiere el apartado 2 del presente articulo, la autoridad de control informant sin dilation al 
respecto a la autoridad de control principal. En el plazo de tres semanas despues de haber sido informada, la autoridad 
de control principal decidira si tratara o no el caso de conformidad con el procedimiento establecido en el articulo 60, 
teniendo presente si existe un establecimiento del responsable o encargado del tratamiento en el Estado miembro de la 
autoridad de control que le haya informado. 
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4. En caso de que la autoridad de control principal decida tratar el caso, se aplicara el procedimiento establecido en el 
articulo 60. La autoridad de control que haya informado a la autoridad de control principal podra presentarle un 
proyecto de decision. La autoridad de control principal tendra en cuenta en la mayor medida posible dicho proyecto al 
preparar el proyecto de decision a que se refiere el articulo 60, apartado 3. 

5. En caso de que la autoridad de control principal decida no tratar el caso, la autoridad de control que le haya 
informado lo tratara con arreglo a los articulos 61 y 62. 

6. La autoridad de control principal sera el unico interlocutor del responsable o del encargado en relacion con el 
tratamiento transfronterizo realizado por dicho responsable o encargado. 


Articulo 57 


Funciones 


1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbira a cada autoridad de control, en su 

territorio: 

a) controlar la aplicacion del presente Reglamento y hacerlo aplicar; 

b) promover la sensibilizacion del publico y su comprension de los riesgos, normas, garantias y derechos en relacion 
con el tratamiento. Las actividades dirigidas especificamente a los ninos deberan ser objeto de especial atencion; 

c) asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones 
y organismos sobre las medidas legislativas y administrativas relativas a la protection de los derechos y libertades de 
las personas fisicas con respecto al tratamiento; 

d) promover la sensibilizacion de los responsables y encargados del tratamiento acerca de las obligaciones que les 
incumben en virtud del presente Reglamento; 

e) previa solicitud, facilitar information a cualquier interesado en relacion con el ejercicio de sus derechos en virtud del 
presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros; 

f) tratar las reclamaciones presentadas por un interesado o por un organismo, organization o asociacion de 
conformidad con el articulo 80, e investigar, en la medida oportuna, el motivo de la reclamation e informar al 
reclamante sobre el curso y el resultado de la investigation en un plazo razonable, en particular si fueran necesarias 
nuevas investigaciones o una coordination mas estrecha con otra autoridad de control; 

g) cooperar, en particular compartiendo information, con otras autoridades de control y prestar asistencia mutua con 
el fin de garantizar la coherencia en la aplicacion y ejecucion del presente Reglamento; 

h) llevar a cabo investigaciones sobre la aplicacion del presente Reglamento, en particular basandose en information 
recibida de otra autoridad de control u otra autoridad publica; 

i) hacer un seguimiento de cambios que sean de interes, en la medida en que tengan incidencia en la protection de 
datos personales, en particular el desarrollo de las tecnologias de la information y la comunicacion y las practicas 
comerciales; 

j) adoptar las clausulas contractuales tipo a que se refieren el articulo 28, apartado 8, y el articulo 46, apartado 2, 
letra d); 

k) elaborar y mantener una lista relativa al requisito de la evaluation de impacto relativa a la protection de datos, en 
virtud del articulo 35, apartado 4; 

l) ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el articulo 36, apartado 2; 

m) alentar la elaboration de codigos de conducta con arreglo al articulo 40, apartado 1, y dictaminar y aprobar los 
codigos de conducta que den suficientes garantias con arreglo al articulo 40, apartado 5; 

n) fomentar la creation de mecanismos de certification de la protection de datos y de sellos y marcas de protection de 
datos con arreglo al articulo 42, apartado 1, y aprobar los criterios de certification de conformidad con el 
articulo 42, apartado 5; 

o) llevar a cabo, si procede, una revision periodica de las certificaciones expedidas en virtud del articulo 42, apartado 7; 
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p) elaborar y publicar los criterios para la acreditacion de organismos de supervision de los codigos de conducta con 
arreglo al articulo 41 y de organismos de certificacion con arreglo al articulo 43; 

q) efectuar la acreditacion de organismos de supervision de los codigos de conducta con arreglo al articulo 41 y de 
organismos de certificacion con arreglo al articulo 43; 

r) autorizar las clausulas contractuales y disposiciones a que se refiere el articulo 46, apartado 3; 

s) aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el articulo 47; 

t) contribuir a las actividades del Comite; 

u) llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con 
el articulo 58, apartado 2, y 

v) desempenar cualquier otra funcion relacionada con la proteccion de los datos personales. 

2. Cada autoridad de control facilitara la presentacion de las reclamaciones contempladas en el apartado 1, letra f), 

mediante medidas como un formulario de presentacion de reclamaciones que pueda cumplimentarse tambien por 

medios electronicos, sin excluir otros medios de comunicacion. 


3. El desempeno de las funciones de cada autoridad de control sera gratuito para el interesado y, en su caso, para el 
delegado de proteccion de datos. 


4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su caracter repetitivo, 
la autoridad de control podra establecer una tasa razonable basada en los costes administrativos o negarse a actuar 
respecto de la solicitud. La carga de demostrar el caracter manifiestamente infundado o excesivo de la solicitud recaera 
en la autoridad de control. 


Articulo 58 


Poderes 


1. Cada autoridad de control dispondra de todos los poderes de investigation indicados a continuation: 

a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, 
que faciliten cualquier information que requiera para el desempeno de sus funciones; 

b) llevar a cabo investigaciones en forma de auditorias de proteccion de datos; 

c) llevar a cabo una revision de las certificaciones expedidas en virtud del articulo 42, apartado 7; 

d) notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento; 

e) obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la 
information necesaria para el ejercicio de sus funciones; 

f) obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y 
medios de tratamiento de datos, de conformidad con el Derecho procesal de la Union o de los Estados miembros. 

2. Cada autoridad de control dispondra de todos los siguientes poderes correctivos indicados a continuation: 

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de 
tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; 

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento 
hayan infringido lo dispuesto en el presente Reglamento; 

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del 
interesado en virtud del presente Reglamento; 
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d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones 
del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado; 

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos 
personales; 

f) imponer una limitacion temporal o definitiva del tratamiento, incluida su prohibition; 

g) ordenar la rectification o supresion de datos personales o la limitacion de tratamiento con arreglo a los articulos 16, 
17 y 18 y la notification de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con 
arreglo a al articulo 17, apartado 2, y al articulo 19; 

h) retirar una certification u ordenar al organismo de certification que retire una certification emitida con arreglo a los 
articulos 42 y 43, u ordenar al organismo de certification que no se emita una certification si no se cumplen o dejan 
de cumplirse los requisitos para la certification; 

i) imponer una multa administrativa con arreglo al articulo 83, ademas o en lugar de las medidas mencionadas en el 
presente apartado, segun las circunstancias de cada caso particular; 

j) ordenar la suspension de los flujos de datos hacia un destinatario situado en un tercer pais o hacia una organization 
international. 

3. Cada autoridad de control dispondra de todos los poderes de autorizacion y consultivos indicados a continuation: 

a) asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el articulo 36; 

b) emitir, por iniciativa propia o previa solicitud, dictamenes destinados al Parlamento nacional, al Gobierno del Estado 
miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, asi como al publico, 
sobre cualquier asunto relacionado con la protection de los datos personales; 

c) autorizar el tratamiento a que se refiere el articulo 36, apartado 5, si el Derecho del Estado miembro requiere tal 
autorizacion previa; 

d) emitir un dictamen y aprobar proyectos de codigos de conducta de conformidad con lo dispuesto en el articulo 40, 
apartado 5; 

e) acreditar los organismos de certification con arreglo al articulo 43; 

f) expedir certificaciones y aprobar criterios de certification con arreglo al articulo 42, apartado 5; 

g) adoptar las clausulas tipo de protection de datos contempladas en el articulo 28, apartado 8, y el articulo 46, 
apartado 2, letra d); 

h) autorizar las clausulas contractuales indicadas en el articulo 46, apartado 3, letra a); 

i) autorizar los acuerdos administrativos contemplados en el articulo 46, apartado 3, letra b); 

j) aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el articulo 47. 

4. El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente articulo estara sujeto a las 
garantias adecuadas, incluida la tutela judicial efectiva y al respeto de las garantias procesales, establecidas en el Derecho 
de la Union y de los Estados miembros de conformidad con la Carta. 

5. Cada Estado miembro dispondra por ley que su autoridad de control este facultada para poner en conocimiento de 
las autoridades judiciales las infracciones del presente Reglamento y, si procede, para iniciar o ejercitar de otro modo 
acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo. 

6. Cada Estado miembro podra establecer por ley que su autoridad de control tenga otros poderes ademas de los 
indicadas en los apartados 1, 2 y 3. El ejercicio de dichos poderes no sera obstaculo a la aplicacion efectiva del 
capitulo VII. 


Articulo 59 

Informe de actividad 

Cada autoridad de control elaborara un informe anual de sus actividades, que podra incluir una lista de tipos de 
infracciones notificadas y de tipos de medidas adoptadas de conformidad con el articulo 58, apartado 2. Los informes se 
transmitiran al Parlamento nacional, al Gobierno y a las demas autoridades designadas en virtud del Derecho de los 
Estados miembros. Se pondran a disposition del publico, de la Comision y del Comite. 
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CAPfTULO VII 

Cooperation y coherencia 

Seccion 1 

Cooperacion y coherencia 

Articulo 60 

Cooperacion entre la autoridad de control principal y las demas autoridades de control interesadas 

1. La autoridad de control principal cooperara con las demas autoridades de control interesadas de acuerdo con el 
presente articulo, esforzandose por llegar a un consenso. La autoridad de control principal y las autoridades de control 
interesadas se intercambiaran toda information pertinente. 

2. La autoridad de control principal podra solicitar en cualquier momento a otras autoridades de control interesadas 
que presten asistencia mutua con arreglo al articulo 61, y podra llevar a cabo operaciones conjuntas con arreglo al 
articulo 62, en particular para realizar investigaciones o supervisar la aplicacion de una medida relativa a un responsable 
o un encargado del tratamiento establecido en otro Estado miembro. 

3. La autoridad de control principal comunicara sin dilation a las demas autoridades de control interesadas la 
information pertinente a este respecto. Transmitira sin dilation un proyecto de decision a las demas autoridades de 
control interesadas para obtener su dictamen al respecto y tendra debidamente en cuenta sus puntos de vista. 

4. En caso de que cualquiera de las autoridades de control interesadas formule una objecion pertinente y motivada 
acerca del proyecto de decision en un plazo de cuatro semanas a partir de la consulta con arreglo al apartado 3 del 
presente articulo, la autoridad de control principal sometera el asunto, en caso de que no siga lo indicado en la objecion 
pertinente y motivada o estime que dicha objecion no es pertinente o no esta motivada, al mecanismo de coherencia 
contemplado en el articulo 63. 

5. En caso de que la autoridad de control principal prevea seguir lo indicado en la objecion pertinente y motivada 
recibida, presentara a dictamen de las demas autoridades de control interesadas un proyecto de decision revisado. Dicho 
proyecto de decision revisado se sometera al procedimiento indicado en el apartado 4 en un plazo de dos semanas. 

6. En caso de que ninguna otra autoridad de control interesada haya presentado objeciones al proyecto de decision 
transmitido por la autoridad de control principal en el plazo indicado en los apartados 4 y 5, se considerara que la 
autoridad de control principal y las autoridades de control interesadas estan de acuerdo con dicho proyecto de decision 
y estaran vinculadas por este. 

7. La autoridad de control principal adoptara y notificara la decision al establecimiento principal o al establecimiento 
unico del responsable o el encargado del tratamiento, segun proceda, e informara de la decision a las autoridades de 
control interesadas y al Comite, incluyendo un resumen de los hechos pertinentes y la motivation. La autoridad de 
control ante la que se haya presentado una reclamation informara de la decision al reclamante. 


8. No obstante lo dispuesto en el apartado 7, cuando se desestime o rechace una reclamation, la autoridad de control 
ante la que se haya presentado adoptara la decision, la notificara al reclamante e informara de ello al responsable del 
tratamiento. 

9. En caso de que la autoridad de control principal y las autoridades de control interesadas acuerden desestimar o 
rechazar determinadas partes de una reclamation y atender otras partes de ella, se adoptara una decision separada para 
cada una de esas partes del asunto. La autoridad de control principal adoptara la decision respecto de la parte referida a 
acciones en relation con el responsable del tratamiento, la notificara al establecimiento principal o al unico estableci¬ 
miento del responsable o del encargado en el territorio de su Estado miembro, e informara de ello al reclamante, 
mientras que la autoridad de control del reclamante adoptara la decision respecto de la parte relativa a la desestimacion 
o rechazo de dicha reclamation, la notificara a dicho reclamante e informara de ello al responsable o al encargado. 

10. Tras recibir la notification de la decision de la autoridad de control principal con arreglo a los apartados 7 y 9, el 
responsable o el encargado del tratamiento adoptara las medidas necesarias para garantizar el cumplimiento de la 
decision en lo tocante a las actividades de tratamiento en el contexto de todos sus establecimientos en la Union. El 
responsable o el encargado notificaran las medidas adoptadas para dar cumplimiento a dicha decision a la autoridad de 
control principal, que a su vez informara a las autoridades de control interesadas. 
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11. En circunstancias excepcionales, cuando una autoridad de control interesada tenga motivos para considerar que 
es urgente intervenir para proteger los intereses de los interesados, se aplicara el procedimiento de urgencia a que se 
refiere el artfculo 66. 

12. La autoridad de control principal y las demas autoridades de control interesadas se facilitaran reciprocamente la 
informacion requerida en el marco del presente artfculo por medios electronicos, utilizando un formulario normalizado. 


Articulo 61 

Asistencia mutua 

1. Las autoridades de control se facilitaran informacion util y se prestaran asistencia mutua a fin de aplicar el presente 
Reglamento de manera coherente, y tomaran medidas para asegurar una efectiva cooperation entre ellas. La asistencia 
mutua abarcara, en particular, las solicitudes de informacion y las medidas de control, como las solicitudes para llevar a 
cabo autorizaciones y consultas previas, inspecciones e investigaciones. 

2. Cada autoridad de control adoptara todas las medidas oportunas requeridas para responder a una solicitud de otra 
autoridad de control sin dilation indebida y a mas tardar en el plazo de un mes a partir de la solicitud. Dichas medidas 
podran incluir, en particular, la transmision de informacion pertinente sobre el desarrollo de una investigation. 

3. Las solicitudes de asistencia deberan contener toda la informacion necesaria, entre otras cosas respecto de la 
finalidad y los motivos de la solicitud. La informacion que se intercambie se utilizara unicamente para el fin para el que 
haya sido solicitada. 

4. La autoridad de control requerida no podra negarse a responder a una solicitud, salvo si: 

a) no es competente en relation con el objeto de la solicitud o con las medidas cuya ejecucion se solicita, o 

b) el hecho de responder a la solicitud infringiria el presente Reglamento o el Derecho de la Union o de los Estados 
miembros que se aplique a la autoridad de control a la que se dirigio la solicitud. 

5. La autoridad de control requerida informant a la autoridad de control requirente de los resultados obtenidos o, en 
su caso, de los progresos registrados o de las medidas adoptadas para responder a su solicitud. La autoridad de control 
requerida explicara los motivos de su negativa a responder a una solicitud al amparo del apartado 4. 

6. Como norma general, las autoridades de control requeridas facilitaran la informacion solicitada por otras 
autoridades de control por medios electronicos, utilizando un formato normalizado. 

7. Las autoridades de control requeridas no cobraran tasa alguna por las medidas adoptadas a raiz de una solicitud de 
asistencia mutua. Las autoridades de control podran convenir normas de indemnizacion redproca por gastos especificos 
derivados de la prestacion de asistencia mutua en circunstancias excepcionales. 

8. Cuando una autoridad de control no facilite la informacion mencionada en el apartado 5 del presente artfculo en 
el plazo de un mes a partir de la reception de la solicitud de otra autoridad de control, la autoridad de control 
requirente podra adoptar una medida provisional en el territorio de su Estado miembro de conformidad con lo 
dispuesto en el artfculo 55, apartado 1. En ese caso, se supondra que existe la necesidad urgente contemplada en el 
artfculo 66, apartado 1, que exige una decision urgente y vinculante del Comite en virtud del artfculo 66, apartado 2. 

9. La Comision podra, mediante actos de ejecucion, especificar el formato y los procedimientos de asistencia mutua 
contemplados en el presente artfculo, asf como las modalidades del intercambio de informacion por medios electronicos 
entre las autoridades de control y entre las autoridades de control y el Comite, en especial el formato normalizado 
mencionado en el apartado 6 del presente artfculo. Dichos actos de ejecucion se adoptaran con arreglo al procedimiento 
de examen a que se refiere el artfculo 93, apartado 2. 


Articulo 62 

Operaciones conjuntas de las autoridades de control 

1. Las autoridades de control realizaran, en su caso, operaciones conjuntas, incluidas investigaciones conjuntas y 
medidas de ejecucion conjuntas, en las que participen miembros o personal de las autoridades de control de otros 
Estados miembros. 
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2. Si el responsable o el encargado del tratamiento tiene establecimientos en varios Estados miembros o si es 
probable que un numero significativo de interesados en mas de un Estado miembro se vean sustancialmente afectados 
por las operaciones de tratamiento, una autoridad de control de cada uno de esos Estados miembros tendra derecho a 
participar en operaciones conjuntas. La autoridad de control que sea competente en virtud del articulo 56, apartados 1 
o 4, invitara a la autoridad de control de cada uno de dichos Estados miembros a participar en las operaciones 
conjuntas y respondent sin dilation a la solicitud de participation presentada por una autoridad de control. 

3. Una autoridad de control podra, con arreglo al Derecho de su Estado miembro y con la autorizacion de la 
autoridad de control de origen, conferir poderes, incluidos poderes de investigation, a los miembros o al personal de la 
autoridad de control de origen que participen en operaciones conjuntas, o aceptar, en la medida en que lo permita el 
Derecho del Estado miembro de la autoridad de control de acogida, que los miembros o el personal de la autoridad de 
control de origen ejerzan sus poderes de investigation de conformidad con el Derecho del Estado miembro de la 
autoridad de control de origen. Dichos poderes de investigation solo podran ejercerse bajo la orientation y en presencia 
de miembros o personal de la autoridad de control de acogida. Los miembros o el personal de la autoridad de control 
de origen estaran sujetos al Derecho del Estado miembro de la autoridad de control de acogida. 

4. Cuando participe, de conformidad con el apartado 1, personal de la autoridad de control de origen en operaciones 
en otro Estado miembro, el Estado miembro de la autoridad de control de acogida asumira la responsabilidad de 
acuerdo con el Derecho del Estado miembro en cuyo territorio se desarrollen las operaciones, por los danos y perjuicios 
que haya causado dicho personal en el transcurso de las mismas. 

5. El Estado miembro en cuyo territorio se causaron los danos y perjuicios asumira su reparation en las condiciones 
aplicables a los danos y perjuicios causados por su propio personal. El Estado miembro de la autoridad de control de 
origen cuyo personal haya causado danos y perjuicios a cualquier persona en el territorio de otro Estado miembro le 
restituira l'ntegramente los importes que este ultimo haya abonado a los derechohabientes. 

6. Sin perjuicio del ejercicio de sus derechos frente a terceros y habida cuenta de la exception establecida en el 
apartado 5, los Estados miembros renunciaran, en el caso contemplado en el apartado 1, a solicitar de otro Estado 
miembro el reembolso del importe de los danos y perjuicios mencionados en el apartado 4. 

7. Cuando se prevea una operation conjunta y una autoridad de control no cumpla en el plazo de un mes con la 
obligation establecida en el apartado 2, segunda frase, del presente articulo, las demas autoridades de control podran 
adoptar una medida provisional en el territorio de su Estado miembro de conformidad con el articulo 55. En ese caso, 
se presumira la existencia de una necesidad urgente a tenor del articulo 66, apartado 1, y se requerira dictamen o 
decision vinculante urgente del Comite en virtud del articulo 66, apartado 2. 


Section 2 

Coherencia 

Articulo 63 

Mecanismo de coherencia 

A fin de contribuir a la aplicacion coherente del presente Reglamento en toda la Union, las autoridades de control 
cooperaran entre si y, en su caso, con la Comision, en el marco del mecanismo de coherencia establecido en la presente 
section. 


Articulo 64 

Dictamen del Comite 

1. El Comite emitira un dictamen siempre que una autoridad de control competente proyecte adoptar alguna de las 
medidas enumeradas a continuation. A tal fin, la autoridad de control competente comunicara el proyecto de decision al 
Comite, cuando la decision: 

a) tenga por objeto adoptar una lista de las operaciones de tratamiento supeditadas al requisito de la evaluation de 
impacto relativa a la protection de datos de conformidad con el articulo 35, apartado 4; 

b) afecte a un asunto de conformidad con el articulo 40, apartado 7, cuyo objeto sea determinar si un proyecto de 
codigo de conducta o una modification o ampliation de un codigo de conducta es conforme con el presente 
Reglamento; 
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c) tenga por objeto aprobar los criterios aplicables a la acreditacion de un organismo con arreglo al arti'culo 41, 
apartado 3, o un organismo de certification conforme al arti'culo 43, apartado 3; 

d) tenga por objeto determinar las clausulas tipo de protection de datos contempladas en el arti'culo 46, apartado 2, 
letra d), y el arti'culo 28, apartado 8; 

e) tenga por objeto autorizar las clausulas contractuales a que se refiere el arti'culo 46, apartado 3, letra a); 

f) tenga por objeto la aprobacion de normas corporativas vinculantes a tenor del arti'culo 47. 

2. Cualquier autoridad de control, el presidente del Comite o la Comision podran solicitar que cualquier asunto de 
aplicacion general o que surta efecto en mas de un Estado miembro sea examinado por el Comite a efectos de dictamen, 
en particular cuando una autoridad de control competente incumpla las obligaciones relativas a la asistencia mutua con 
arreglo al arti'culo 61 o las operaciones conjuntas con arreglo al arti'culo 62. 


3. En los casos a que se refieren los apartados 1 y 2, el Comite emitira dictamen sobre el asunto que le haya sido 
presentado siempre que no haya emitido ya un dictamen sobre el mismo asunto. Dicho dictamen se adoptara en el 
plazo de ocho semanas por mayoria simple de los miembros del Comite. Dicho plazo podra prorrogarse seis semanas 
mas, teniendo en cuenta la complejidad del asunto. Por lo que respecta al proyecto de decision a que se refiere el 
apartado 1 y distribuido a los miembros del Comite con arreglo al apartado 5, todo miembro que no haya presentado 
objeciones dentro de un plazo razonable indicado por el presidente se considerara conforme con el proyecto de 
decision. 


4. Las autoridades de control y la Comision comunicaran sin dilation por via electronica al Comite, utilizando un 
formato normalizado, toda information util, en particular, cuando proceda, un resumen de los hechos, el proyecto de 
decision, los motivos por los que es necesaria tal medida, y las opiniones de otras autoridades de control interesadas. 


5. La Presidencia del Comite informant sin dilation indebida por medios electronicos: 

a) a los miembros del Comite y a la Comision de cualquier information pertinente que le haya sido comunicada, 
utilizando un formato normalizado. La secretaria del Comite facilitara, de ser necesario, traducciones de la 
information que sea pertinente, y 

b) a la autoridad de control contemplada, en su caso, en los apartados 1 y 2 y a la Comision del dictamen, y lo 
publicara. 

6. La autoridad de control competente no adoptara su proyecto de decision a tenor del apartado 1 en el plazo 

mencionado en el apartado 3. 


7. La autoridad de control contemplada en el arti'culo 1 tendra en cuenta en la mayor medida posible el dictamen del 
Comite y, en el plazo de dos semanas desde la reception del dictamen, comunicara por medios electronicos al presidente 
del Comite si va a mantener o modificar su proyecto de decision y, si lo hubiera, el proyecto de decision modificado, 
utilizando un formato normalizado. 


8. Cuando la autoridad de control interesada informe al presidente del Comite, en el plazo mencionado en el 
apartado 7 del presente arti'culo, de que no preve seguir el dictamen del Comite, en todo o en parte, alegando los 
motivos correspondientes, se aplicara el arti'culo 65, apartado 1. 


Articulo 65 


Resolution de conflictos por el Comite 


1. Con el fin de garantizar una aplicacion correcta y coherente del presente Reglamento en casos concretos, el Comite 
adoptara una decision vinculante en los siguientes casos: 

a) cuando, en un caso mencionado en el arti'culo 60, apartado 4, una autoridad de control interesada haya manifestado 
una objecion pertinente y motivada a un proyecto de decision de la autoridad principal, o esta haya rechazado dicha 
objecion por no ser pertinente o no estar motivada. La decision vinculante afectara a todos los asuntos a que se 
refiera la objecion pertinente y motivada, en particular si hay infraction del presente Reglamento; 
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b) cuando haya puntos de vista enfrentados sobre cual de las autoridades de control interesadas es competente para el 
establecimiento principal; 

c) cuando una autoridad de control competente no solicite dictamen al Comite en los casos contemplados en el 
articulo 64, apartado 1, o no siga el dictamen del Comite emitido en virtud del articulo 64. En tal caso, cualquier 
autoridad de control interesada, o la Comision, lo pondra en conocimiento del Comite. 

2. La decision a que se refiere el apartado 1 se adoptara en el plazo de un mes a partir de la remision del asunto, por 
mayoria de dos tercios de los miembros del Comite. Este plazo podra prorrogarse un mes mas, habida cuenta de la 
complejidad del asunto. La decision que menciona el apartado 1 estara motivada y sera dirigida a la autoridad de control 
principal y a todas las autoridades de control interesadas, y sera vinculante para ellas. 


3. Cuando el Comite no haya podido adoptar una decision en los plazos mencionados en el apartado 2, adoptara su 
decision en un plazo de dos semanas tras la expiration del segundo mes a que se refiere el apartado 2, por mayoria 
simple de sus miembros. En caso de empate, decidira el voto del presidente. 


4. Las autoridades de control interesadas no adoptaran decision alguna sobre el asunto presentado al Comite en 
virtud del apartado 1 durante los plazos de tiempo a que se refieren los apartados 2 y 3. 


5. El presidente del Comite notificara sin dilation indebida la decision contemplada en el apartado 1 a las autoridades 
de control interesadas. Tambien informara de ello a la Comision. La decision se publicara en el sitio web del Comite sin 
demora, una vez que la autoridad de control haya notificado la decision definitiva a que se refiere el apartado 6. 


6. La autoridad de control principal o, en su caso, la autoridad de control ante la que se presento la reclamation 
adoptara su decision definitiva sobre la base de la decision contemplada en el apartado 1 del presente articulo, sin 
dilation indebida y a mas tardar un mes tras la notification de la decision del Comite. La autoridad de control principal 
o, en su caso, la autoridad de control ante la que se presento la reclamation informara al Comite de la fecha de 
notification de su decision definitiva al responsable o al encargado del tratamiento y al interesado, respectivamente. La 
decision definitiva de las autoridades de control interesadas sera adoptada en los terminos establecidos en el articulo 60, 
apartados 7, 8 y 9. La decision definitiva hara referencia a la decision contemplada en el apartado 1 del presente articulo 
y especificara que esta ultima decision se publicara en el sitio web del Comite con arreglo al apartado 5 del presente 
articulo. La decision definitiva llevara adjunta la decision contemplada en el apartado 1 del presente articulo. 


Articulo 66 


Procedimiento de urgencia 


1. En circunstancias excepcionales, cuando una autoridad de control interesada considere que es urgente intervenir 
para proteger los derechos y las libertades de interesados, podra, como exception al mecanismo de coherencia 
contemplado en los articulos 63, 64 y 65, o al procedimiento mencionado en el articulo 60, adoptar inmediatamente 
medidas provisionales destinadas a producir efectos juridicos en su propio territorio, con un periodo de validez 
determinado que no podra ser superior a tres meses. La autoridad de control comunicara sin dilation dichas medidas, 
junto con los motivos de su adoption, a las demas autoridades de control interesadas, al Comite y a la Comision. 


2. Cuando una autoridad de control haya adoptado una medida de conformidad con el apartado 1, y considere que 
deben adoptarse urgentemente medidas definitivas, podra solicitar con caracter urgente un dictamen o una decision 
vinculante urgente del Comite, motivando dicha solicitud de dictamen o decision. 


3. Cualquier autoridad de control podra solicitar, motivando su solicitud, y, en particular, la urgencia de la 
intervention, un dictamen urgente o una decision vinculante urgente, segun el caso, del Comite, cuando una autoridad 
de control competente no haya tornado una medida apropiada en una situation en la que sea urgente intervenir a fin de 
proteger los derechos y las libertades de los interesados. 


4. No obstante lo dispuesto en el articulo 64, apartado 3, y en el articulo 65, apartado 2, los dictamenes urgentes o 
decisiones vinculantes urgentes contemplados en los apartados 2 y 3 del presente articulo se adoptaran en el plazo de 
dos semanas por mayoria simple de los miembros del Comite. 
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Articulo 67 

Intercambio de informacion 

La Comision podra adoptar actos de ejecucion de ambito general para especificar las modalidades de intercambio de 
informacion por medios electronicos entre las autoridades de control, y entre dichas autoridades y el Comite, en especial 
el formato normalizado contemplado en el articulo 64. 

Dichos actos de ejecucion se adoptaran con arreglo al procedimiento de examen a que se refiere el articulo 93, 
apartado 2. 


Seccion 3 

Comite europeo de proteccion de datos 

Articulo 68 

Comite Europeo de Proteccion de Datos 

1. Se crea el Comite Europeo de Proteccion de Datos («Comite»), como organismo de la Union, que gozara de 
personalidad juridica. 

2. El Comite estara representado por su presidente. 

3. El Comite estara compuesto por el director de una autoridad de control de cada Estado miembro y por el 
Supervisor Europeo de Proteccion de Datos o sus representantes respectivos. 

4. Cuando en un Estado miembro esten encargados de controlar la aplicacion de las disposiciones del presente 
Reglamento varias autoridades de control, se nombrara a un representante comun de conformidad con el Derecho de 
ese Estado miembro. 

5. La Comision tendra derecho a participar en las actividades y reuniones del Comite, sin derecho a voto. La 
Comision designara un representante. El presidente del Comite comunicara a la Comision las actividades del Comite. 

6. En los casos a que se refiere el articulo 65, el Supervisor Europeo de Proteccion de Datos solo tendra derecho a 
voto en las decisiones relativas a los principios y normas aplicables a las instituciones, organos y organismos de la 
Union que correspondan en cuanto al fondo a las contempladas en el presente Reglamento. 


Articulo 69 

Independence 

1. El Comite actuara con total independencia en el desempeno de sus funciones o el ejercicio de sus competencias 
con arreglo a los articulos 70 y 71. 

2. Sin perjuicio de las solicitudes de la Comision contempladas en el articulo 70, apartado 1, letra b), y apartado 2, el 
Comite no solicitara ni admitira instrucciones de nadie en el desempeno de sus funciones o el ejercicio de sus 
competencias. 


Articulo 70 

Funciones del Comite 

1. El Comite garantizara la aplicacion coherente del presente Reglamento. A tal efecto, el Comite, a iniciativa propia 
o, en su caso, a instancia de la Comision, en particular: 

a) supervisara y garantizara la correcta aplicacion del presente Reglamento en los casos contemplados en los 
articulos 64 y 65, sin perjuicio de las funciones de las autoridades de control nacionales; 



4.5.2016 




Diario Oficial de la Union Europea 


L 119/77 


b) asesorara a la Comision sobre toda cuestion relativa a la proteccion de datos personales en la Union, en particular 
sobre cualquier propuesta de modification del presente Reglamento; 

c) asesorara a la Comision sobre el formato y los procedimientos para intercambiar informacion entre los responsables, 
los encargados y las autoridades de control en relation con las normas corporativas vinculantes; 

d) emitira directrices, recomendaciones y buenas practicas relativas a los procedimientos para la supresion de vinculos, 
copias o replicas de los datos personales procedentes de servicios de comunicacion a disposition publica a que se 
refiere el articulo 17, apartado 2; 

e) examinara, a iniciativa propia, a instancia de uno de sus miembros o de la Comision, cualquier cuestion relativa a la 
aplicacion del presente Reglamento, y emitira directrices, recomendaciones y buenas practicas a fin de promover la 
aplicacion coherente del presente Reglamento; 

f) emitira directrices, recomendaciones y buenas practicas de conformidad con la letra e) del presente apartado a fin de 

especificar mas los criterios y requisitos de las decisiones basadas en perfiles en virtud del articulo 22, apartado 2; 

g) emitira directrices, recomendaciones y buenas practicas con arreglo a la letra e) del presente apartado a fin de 

constatar las violaciones de la seguridad de los datos y determinar la dilation indebida a tenor del articulo 33, 
apartados 1 y 2, y con respecto a las circunstancias particulares en las que el responsable o el encargado del 
tratamiento debe notificar la violation de la seguridad de los datos personales; 

h) emitira directrices, recomendaciones y buenas practicas con arreglo a la letra e) del presente apartado con respecto a 
las circunstancias en las que sea probable que la violation de la seguridad de los datos personales entrane un alto 
riesgo para los derechos y libertades de las personas fisicas a tenor del articulo 34, apartado 1; 

i) emitira directrices, recomendaciones y buenas practicas con arreglo a la letra e) del presente apartado con el fin de 
especificar en mayor medida los criterios y requisitos para las transferencias de datos personales basadas en normas 
corporativas vinculantes a las que se hayan adherido los responsables del tratamiento y en normas corporativas 
vinculantes a las que se hayan adherido los encargados del tratamiento y en requisitos adicionales necesarios para 
garantizar la proteccion de los datos personales de los interesados a que se refiere el articulo 47; 

j) emitira directrices, recomendaciones y buenas practicas con arreglo a la letra e) del presente apartado a fin de 

especificar en mayor medida los criterios y requisitos de las transferencias de datos personales sobre la base del 

articulo 49, apartado 1; 

k) formulara directrices para las autoridades de control, relativas a la aplicacion de las medidas a que se refiere el 
articulo 58, apartados 1, 2 y 3, y la fijacion de multas administrativas de conformidad con el articulo 83; 

l) examinara la aplicacion practica de las directrices, recomendaciones y buenas practicas a que se refieren las letras e) 

yf); 

m) emitira directrices, recomendaciones y buenas practicas con arreglo a la letra e) del presente apartado a fin de 
establecer procedimientos comunes de informacion procedente de personas fisicas sobre infracciones del presente 
Reglamento en virtud del articulo 54, apartado 2; 

n) alentara la elaboration de codigos de conducta y el establecimiento de mecanismos de certification de la proteccion 
de datos y de sellos y marcas de proteccion de datos de conformidad con los articulos 40 y 42; 

o) realizara la acreditacion de los organismos de certification y su revision periodica en virtud del articulo 43, y llevara 
un registro publico de los organismos acreditados en virtud del articulo 43, apartado 6, y de los responsables o los 
encargados del tratamiento acreditados establecidos en terceros paises en virtud del articulo 42, apartado 7; 

p) especificara los requisitos contemplados en el articulo 43, apartado 3, con miras a la acreditacion de los organismos 
de certification en virtud del articulo 42; 

q) facilitara a la Comision un dictamen sobre los requisitos de certification contemplados en el articulo 43, apartado 8; 

r) facilitara a la Comision un dictamen sobre los iconos a que se refiere el articulo 12, apartado 7; 

s) facilitara a la Comision un dictamen para evaluar la adecuacion del nivel de proteccion en un tercer pais u 
organization internacional, en particular para evaluar si un tercer pais, un territorio o uno o varios sectores 
especificos de ese tercer pais, o una organization internacional, ya no garantizan un nivel de proteccion adecuado. A 
tal fin, la Comision facilitara al Comite toda la documentation necesaria, incluida la correspondencia con el 
gobierno del tercer pais, que se refiera a dicho tercer pais, territorio o especifico o a dicha organization interna¬ 
cional; 
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t) emitira dictamenes sobre los proyectos de decision de las autoridades de control en virtud del mecanismo de 
coherencia mencionado en el articulo 64, apartado 1, sobre los asuntos presentados en virtud del articulo 64, 
apartado 2, y sobre las decisiones vinculantes en virtud del articulo 65, incluidos los casos mencionados en el 
articulo 66; 

u) promovera la cooperation y los intercambios bilaterales y multilaterales efectivos de information y de buenas 
practicas entre las autoridades de control; 

v) promovera programas de formation comunes y facilitara intercambios de personal entre las autoridades de control 
y, cuando proceda, con las autoridades de control de terceros paises o con organizaciones internacionales; 

w) promovera el intercambio de conocimientos y documentation sobre legislation y practicas en materia de protection 
de datos con las autoridades de control encargadas de la protection de datos a escala mundial; 

x) emitira dictamenes sobre los codigos de conducta elaborados a escala de la Union de conformidad con el 
articulo 40, apartado 9, y 

y) llevara un registro electronico, de acceso publico, de las decisiones adoptadas por las autoridades de control y los 
tribunales sobre los asuntos tratados en el marco del mecanismo de coherencia. 

2. Cuando la Comision solicite asesoramiento del Comite podra senalar un plazo teniendo en cuenta la urgencia del 
asunto. 

3. El Comite transmitira sus dictamenes, directrices, recomendaciones y buenas practicas a la Comision y al Comite 
contemplado en el articulo 93, y los hara publicos. 

4. Cuando proceda, el Comite consultant a las partes interesadas y les dara la oportunidad de presentar sus 
comentarios en un plazo razonable. Sin perjuicio de lo dispuesto en el articulo 7 6, el Comite publicara los resultados del 
procedimiento de consulta. 


Articulo 71 

Informes 

1. El Comite elaborara un informe anual en materia de protection de las personas fisicas en lo que respecta al 
tratamiento en la Union y, si procede, en terceros paises y organizaciones internacionales. El informe se hara publico y 
se transmitira al Parlamento Europeo, al Consejo y a la Comision. 

2. El informe anual incluira un examen de la aplicacion practica de las directrices, recomendaciones y buenas 
practicas indicadas en el articulo 70, apartado 1, letra 1), asi como de las decisiones vinculantes indicadas en el 
articulo 65. 


Articulo 72 

Procedimiento 

1. El Comite tomara sus decisiones por mayoria simple de sus miembros, salvo que el presente Reglamento disponga 
otra cosa. 

2. El Comite adoptara su reglamento interno por mayoria de dos tercios de sus miembros y organizara sus disposi- 
ciones de funcionamiento. 


Articulo 73 

Presidencia 

1. El Comite elegira por mayoria simple de entre sus miembros un presidente y dos vicepresidentes. 

2. El mandato del presidente y de los vicepresidentes sera de cinco anos de duration y podra renovarse una vez. 



4.5.2016 




Diario Oficial de la Union Europea 


L 119/79 


Articulo 74 


Funciones del presidente 


1. El presidente desempenara las siguientes funciones: 

a) convocar las reuniones del Comite y preparar su orden del dia; 

b) notificar las decisiones adoptadas por el Comite con arreglo al articulo 65 a la autoridad de control principal y a las 
autoridades de control interesadas; 

c) garantizar el ejercicio puntual de las funciones del Comite, en particular en relation con el mecanismo de coherencia 
a que se refiere el articulo 63. 

2. El Comite determinant la distribution de funciones entre el presidente y los vicepresidentes en su reglamento 
interno. 


Articulo 75 

Secretaria 

1. El Comite contara con una secretaria, de la que se hara cargo el Supervisor Europeo de Protection de Datos. 

2. La secretaria ejercera sus funciones siguiendo exclusivamente las instrucciones del presidente del Comite. 

3. El personal del Supervisor Europeo de Protection de Datos que participe en el desempeno de las funciones 
conferidas al Comite por el presente Reglamento dependent de un superior jerarquico distinto del personal que 
desempene las funciones conferidas al Supervisor Europeo de Protection de Datos. 

4. El Comite, en consulta con el Supervisor Europeo de Protection de Datos, elaborara y publicara, si procede, un 
memorando de entendimiento para la puesta en practica del presente articulo, que determinant los terminos de su 
cooperation y que sera aplicable al personal del Supervisor Europeo de Protection de Datos que participe en el 
desempeno de las funciones conferidas al Comite por el presente Reglamento. 

5. La secretaria prestara apoyo analitico, administrative y logistico al Comite. 

6. La secretaria sera responsable, en particular, de: 

a) los asuntos corrientes del Comite; 

b) la comunicacion entre los miembros del Comite, su presidente y la Comision; 

c) la comunicacion con otras instituciones y con el publico; 

d) la utilization de medios electronicos para la comunicacion interna y externa; 

e) la traduction de la information pertinente; 

f) la preparation y el seguimiento de las reuniones del Comite; 

g) la preparation, redaction y publication de dictamenes, decisiones relativas a solution de diferencias entre autoridades 
de control y otros textos adoptados por el Comite. 

Articulo 76 

Confidencialidad 

1. Los debates del Comite seran confidenciales cuando el mismo lo considere necesario, tal como establezca su 
reglamento interno. 
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2. El acceso a los documentos presentados a los miembros del Comite, los expertos y los representantes de terceras 
partes se regira por el Reglamento (CE) n.° 1049/2001 del Parlamento Europeo y del Consejo ('). 


CAPITULO VIII 

Recursos, responsabilidad y sanciones 


Articulo 77 


Derecho a presentar una reclamacion ante una autoridad de control 


1. Sin perjuicio de cualquier otro recurso administrative o action judicial, todo interesado tendra derecho a presentar 
una reclamacion ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia 
habitual, lugar de trabajo o lugar de la supuesta infraction, si considera que el tratamiento de datos personales que le 
conciernen infringe el presente Reglamento. 

2. La autoridad de control ante la que se haya presentado la reclamacion informant al reclamante sobre el curso y el 
resultado de la reclamacion, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del articulo 78. 


Articulo 78 


Derecho a la tutela judicial efectiva contra una autoridad de control 


1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona fisica o juridica tendra derecho 
a la tutela judicial efectiva contra una decision juridicamente vinculante de una autoridad de control que le concierna. 

2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendra derecho a la tutela 
judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los articulos 55 y 56 no de 
curso a una reclamacion o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la 
reclamacion presentada en virtud del articulo 77. 

3. Las acciones contra una autoridad de control deberan ejercitarse ante los tribunales del Estado miembro en que 
este establecida la autoridad de control. 

4. Cuando se ejerciten acciones contra una decision de una autoridad de control que haya sido precedida de un 
dictamen o una decision del Comite en el marco del mecanismo de coherencia, la autoridad de control remitira al 
tribunal dicho dictamen o decision. 


Articulo 79 


Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento 


1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una 
reclamacion ante una autoridad de control en virtud del articulo 77, todo interesado tendra derecho a la tutela judicial 
efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia 
de un tratamiento de sus datos personales. 

2. Las acciones contra un responsable o encargado del tratamiento deberan ejercitarse ante los tribunales del Estado 
miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente, tales acciones podran 
ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el 
responsable o el encargado sea una autoridad publica de un Estado miembro que actue en ejercicio de sus poderes 
publicos. 


(') Reglamento (CE) n.° 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del publico a los 
documentos del Parlamento Europeo, del Consejo y de la Comision (DO L 145 de 31.5.2001, p. 43). 
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Articulo 80 

Representation de los interesados 

1. El interesado tendra derecho a dar mandato a una entidad, organization o asociacion sin animo de lucro que haya 
sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de 
interes publico y que actue en el ambito de la protection de los derechos y libertades de los interesados en materia de 
protection de sus datos personales, para que presente en su nombre la reclamation, y ejerza en su nombre los derechos 
contemplados en los articulos 77, 78 y 79, y el derecho a ser indemnizado mencionado en el articulo 82 si asi lo 
establece el Derecho del Estado miembro. 

2. Cualquier Estado miembro podran disponer que cualquier entidad, organization o asociacion mencionada en el 
apartado 1 del presente articulo tenga, con independencia del mandato del interesado, derecho a presentar en ese Estado 
miembro una reclamation ante la autoridad de control que sea competente en virtud del articulo 77 y a ejercer los 
derechos contemplados en los articulos 78 y 79, si considera que los derechos del interesado con arreglo al presente 
Reglamento han sido vulnerados como consecuencia de un tratamiento. 


Articulo 81 

Suspension de los procedimientos 

1. Cuando un tribunal competente de un Estado miembro tenga information de la pendencia ante un tribunal de 
otro Estado miembro de un procedimiento relativo a un mismo asunto en relation con el tratamiento por el mismo 
responsable o encargado, se pondra en contacto con dicho tribunal de otro Estado miembro para confirmar la existencia 
de dicho procedimiento. 

2. Cuando un procedimiento relativo a un mismo asunto en relation con el tratamiento por el mismo responsable o 
encargado este pendiente ante un tribunal de otro Estado miembro, cualquier tribunal competente distinto de aquel ante 
el que se ejercito la action en primer lugar podra suspender su procedimiento. 

3. Cuando dicho procedimiento este pendiente en primera instancia, cualquier tribunal distinto de aquel ante el que 
se ejercito la action en primer lugar podra tambien, a instancia de una de las partes, inhibirse en caso de que el primer 
tribunal sea competente para su conocimiento y su acumulacion sea conforme a Derecho. 


Articulo 82 

Derecho a indemnizacion y responsabilidad 

1. Toda persona que haya sufrido danos y perjuicios materiales o inmateriales como consecuencia de una infraction 
del presente Reglamento tendra derecho a recibir del responsable o el encargado del tratamiento una indemnizacion por 
los danos y perjuicios sufridos. 

2. Cualquier responsable que participe en la operation de tratamiento respondera de los danos y perjuicios causados 
en caso de que dicha operation no cumpla lo dispuesto por el presente Reglamento. Un encargado unicamente 
respondera de los danos y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del 
presente Reglamento dirigidas especfficamente a los encargados o haya actuado al margen o en contra de las instruc- 
ciones legales del responsable. 

3. El responsable o encargado del tratamiento estara exento de responsabilidad en virtud del apartado 2 si demuestra 
que no es en modo alguno responsable del hecho que haya causado los danos y perjuicios. 

4. Cuando mas de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado 
en la misma operation de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier dano o 
perjuicio causado por dicho tratamiento, cada responsable o encargado sera considerado responsable de todos los danos 
y perjuicios, a fin de garantizar la indemnizacion efectiva del interesado. 

5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemni¬ 
zacion total por el perjuicio ocasionado, dicho responsable o encargado tendra derecho a reclamar a los demas 
responsables o encargados que hayan participado en esa misma operation de tratamiento la parte de la indemnizacion 
correspondiente a su parte de responsabilidad por los danos y perjuicios causados, de conformidad con las condiciones 
fijadas en el apartado 2. 
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6. Las acciones judiciales en ejercicio del derecho a indemnizacion se presentaran ante los tribunales competentes con 
arreglo al Derecho del Estado miembro que se indica en el arti'culo 79, apartado 2. 


Arttculo 83 


Condiciones generales para la imposition de multas administrativas 


1. Cada autoridad de control garantizara que la imposicion de las multas administrativas con arreglo al presente 
arti'culo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual 
efectivas, proporcionadas y disuasorias. 


2. Las multas administrativas se impondran, en funcion de las circunstancias de cada caso individual, a ti'tulo 
adicional o sustitutivo de las medidas contempladas en el arti'culo 58, apartado 2, letras a) a h) y j). Al decidir la 
imposicion de una multa administrativa y su cuantia en cada caso individual se tendra debidamente en cuenta: 

a) la naturaleza, gravedad y duration de la infraction, teniendo en cuenta la naturaleza, alcance o proposito de la 
operation de tratamiento de que se trate asi como el numero de interesados afectados y el nivel de los dafios y 
perjuicios que hayan sufrido; 

b) la intencionalidad o negligencia en la infraction; 

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los danos y perjuicios sufridos 
por los interesados; 

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas tecnicas u 
organizativas que hayan aplicado en virtud de los articulos 25 y 32; 

e) toda infraction anterior cometida por el responsable o el encargado del tratamiento; 

f) el grado de cooperation con la autoridad de control con el fin de poner remedio a la infraction y mitigar los 
posibles efectos adversos de la infraction; 

g) las categorfas de los datos de caracter personal afectados por la infraction; 

h) la forma en que la autoridad de control tuvo conocimiento de la infraction, en particular si el responsable o el 
encargado notified la infraction y, en tal caso, en que medida; 

i) cuando las medidas indicadas en el arti'culo 58, apartado 2, hayan sido ordenadas previamente contra el responsable 
o el encargado de que se trate en relation con el mismo asunto, el cumplimiento de dichas medidas; 

j) la adhesion a codigos de conducta en virtud del arti'culo 40 o a mecanismos de certification aprobados con arreglo 
al arti'culo 42, y 

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros 
obtenidos o las perdidas evitadas, directa o indirectamente, a traves de la infraction. 

3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las 
mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantia 
total de la multa administrativa no sera superior a la cuantia prevista para las infracciones mas graves. 


4. Las infracciones de las disposiciones siguientes se sancionaran, de acuerdo con el apartado 2, con multas adminis¬ 
trativas de 10 000 000 EUR como maximo o, tratandose de una empresa, de una cuantia equivalente al 2 % como 
maximo del volumen de negocio total anual global del ejercicio financiero anterior, optandose por la de mayor cuantia: 

a) las obligaciones del responsable y del encargado a tenor de los articulos 8, 11, 25 a 39, 42 y 43; 

b) las obligaciones de los organismos de certification a tenor de los articulos 42 y 43; 

c) las obligaciones de la autoridad de control a tenor del arti'culo 41, apartado 4. 
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5. Las infracciones de las disposiciones siguientes se sancionaran, de acuerdo con el apartado 2, con multas adminis- 
trativas de 20 000 000 EUR como maximo o, tratandose de una empresa, de una cuantia equivalente al 4 % como 
maximo del volumen de negocio total anual global del ejercicio financiero anterior, optandose por la de mayor cuantia: 

a) los principios basicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los articulos 5, 
6, 7 y 9; 

b) los derechos de los interesados a tenor de los articulos 12 a 22; 

c) las transferencias de datos personales a un destinatario en un tercer pais o una organization internacional a tenor de 
los articulos 44 a 49; 

d) toda obligation en virtud del Derecho de los Estados miembros que se adopte con arreglo al capitulo IX; 

e) el incumplimiento de una resolution o de una limitation temporal o definitiva del tratamiento o la suspension de los 
flujos de datos por parte de la autoridad de control con arreglo al articulo 58, apartado 2, o el no facilitar acceso en 
incumplimiento del articulo 58, apartado 1. 

6. El incumplimiento de las resoluciones de la autoridad de control a tenor del articulo 58, apartado 2, se sancionara 
de acuerdo con el apartado 2 del presente articulo con multas administrativas de 20 000 000 EUR como maximo o, 
tratandose de una empresa, de una cuantia equivalente al 4 % como maximo del volumen de negocio total anual global 
del ejercicio financiero anterior, optandose por la de mayor cuantia. 

7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del articulo 58, apartado 2, cada 
Estado miembro podra establecer normas sobre si se puede, y en que medida, imponer multas administrativas a 
autoridades y organismos publicos establecidos en dicho Estado miembro. 


8. El ejercicio por una autoridad de control de sus poderes en virtud del presente articulo estara sujeto a garantias 
procesales adecuadas de conformidad con el Derecho de la Union y de los Estados miembros, entre ellas la tutela judicial 
efectiva y el respeto de las garantias procesales. 

9. Cuando el ordenamiento juridico de un Estado miembro no establezca multas administrativas, el presente articulo 
podra aplicarse de tal modo que la incoacion de la multa corresponda a la autoridad de control competente y su 
imposition a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vias de derecho sean 
efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En 
cualquier caso, las multas impuestas seran efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate 
notificaran a la Comision las disposiciones legislativas que adopten en virtud del presente apartado a mas tardar el 25 de 
mayo de 2018 y, sin dilation, cualquier ley de modification o modification posterior que les sea aplicable. 


Articulo 84 

Sanciones 

1. Los Estados miembros estableceran las normas en materia de otras sanciones aplicables a las infracciones del 
presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con 
el articulo 83, y adoptaran todas las medidas necesarias para garantizar su observancia. Dichas sanciones seran efectivas, 
proporcionadas y disuasorias. 

2. Cada Estado miembro notificara a la Comision las disposiciones legislativas que adopte de conformidad con el 
apartado 1 a mas tardar el 25 de mayo de 2018 y, sin dilation, cualquier modification posterior que les sea aplicable. 


CAPfTULO IX 

Disposiciones relativas a situaciones especificas de tratamiento 

Articulo 85 

Tratamiento y libertad de expresion y de informacion 

1. Los Estados miembros conciliaran por ley el derecho a la protection de los datos personales en virtud del presente 
Reglamento con el derecho a la libertad de expresion y de informacion, incluido el tratamiento con fines periodisticos y 
fines de expresion academica, artistica o literaria. 
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2. Para el tratamiento realizado con fines periodisticos o con fines de expresion academica, artistica o literaria, los 
Estados miembros estableceran exenciones o excepciones de lo dispuesto en los capitulos II (principios), III (derechos del 
interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros pai'ses u organi- 
zaciones internacionales), VI (autoridades de control independientes), VII (cooperation y coherencia) y IX (disposiciones 
relativas a situaciones especificas de tratamiento de datos), si son necesarias para conciliar el derecho a la proteccion de 
los datos personales con la libertad de expresion e information. 

3. Cada Estado miembro notificara a la Comision las disposiciones legislativas que adopte de conformidad con el 
apartado 2 y, sin dilacion, cualquier modification posterior, legislativa u otra, de las mismas. 


Articulo 86 

Tratamiento y acceso del publico a documentos oficiales 

Los datos personales de documentos oficiales en posesion de alguna autoridad publica o u organismo publico o una 
entidad privada para la realization de una mision en interes publico podran ser comunicados por dicha autoridad, 
organismo o entidad de conformidad con el Derecho de la Union o de los Estados miembros que se les aplique a fin de 
conciliar el acceso del publico a documentos oficiales con el derecho a la proteccion de los datos personales en virtud 
del presente Reglamento. 


Articulo 87 

Tratamiento del numero nacional de identification 

Los Estados miembros podran determinar adicionalmente las condiciones especificas para el tratamiento de un numero 
nacional de identification o cualquier otro medio de identification de caracter general. En ese caso, el numero nacional 
de identification o cualquier otro medio de identification de caracter general se utilizara unicamente con las garantias 
adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento. 


Articulo 88 

Tratamiento en el ambito laboral 

1. Los Estados miembros podran, a traves de disposiciones legislativas o de convenios colectivos, establecer normas 
mas especificas para garantizar la proteccion de los derechos y libertades en relation con el tratamiento de datos 
personales de los trabajadores en el ambito laboral, en particular a efectos de contratacion de personal, ejecucion del 
contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, 
gestion, planificacion y organization del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el 
trabajo, proteccion de los bienes de empleados o clientes, asi como a efectos del ejercicio y disfrute, individual o 
colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extincion de la relation laboral. 

2. Dichas normas incluiran medidas adecuadas y especificas para preservar la dignidad humana de los interesados asi 
como sus intereses legitimos y sus derechos fundamentales, prestando especial atencion a la transparencia del 
tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una union de empresas 
dedicadas a una actividad economica conjunta y a los sistemas de supervision en el lugar de trabajo. 

3. Cada Estado miembro notificara a la Comision las disposiciones legales que adopte de conformidad con el 
apartado 1 a mas tardar el 25 de mayo de 2018 y, sin dilacion, cualquier modification posterior de las mismas. 


Articulo 89 

Garantias y excepciones aplicables al tratamiento con fines de archivo en interes publico, fines de 
investigation cientifica o historica o fines estadisticos 

1. El tratamiento con fines de archivo en interes publico, fines de investigation cientifica o historica o fines 
estadisticos estara sujeto a las garantias adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades 
de los interesados. Dichas garantias haran que se disponga de medidas tecnicas y organizativas, en particular para 
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garantizar el respeto del principio de minimization de los datos personales. Tales medidas podran incluir la seudonimi- 
zacion, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un 
tratamiento ulterior que no permita o ya no permita la identification de los interesados, esos fines se alcanzaran de ese 
modo. 

2. Cuando se traten datos personales con fines de investigation cientifica o historica o estadisticos el Derecho de la 
Union o de los Estados miembros podra establecer excepciones a los derechos contemplados en los articulos 15, 16, 18 
y 21, sujetas a las condiciones y garantias indicadas en el apartado 1 del presente articulo, siempre que sea probable que 
esos derechos imposibiliten u obstaculicen gravemente el logro de los fines cientificos y cuanto esas excepciones sean 
necesarias para alcanzar esos fines. 

3. Cuando se traten datos personales con fines de archivo en interes publico, el Derecho de le Union o de los Estados 
miembros podra prever excepciones a los derechos contemplados en los articulos 15, 16, 18, 19, 20 y 21, sujetas a las 
condiciones y garantias citadas en el apartado 1 del presente articulo, siempre que esos derechos puedan imposibilitar u 
obstaculizar gravemente el logro de los fines cientificos y cuanto esas excepciones sean necesarias para alcanzar esos 
fines. 

4. En caso de que el tratamiento a que hacen referencia los apartados 2 y 3 sirva tambien al mismo tiempo a otro 
fin, las excepciones solo seran aplicables al tratamiento para los fines mencionados en dichos apartados. 


Articulo 90 

Obligaciones de secreto 

1. Los Estados miembros podran adoptar normas especificas para fijar los poderes de las autoridades de control 
establecidos en el articulo 58, apartado 1, letras e) y f), en relation con los responsables o encargados sujetos, con 
arreglo al Derecho de la Union o de los Estados miembros o a las normas establecidas por los organismos nacionales 
competentes, a una obligacion de secreto profesional o a otras obligaciones de secreto equivalentes, cuando sea 
necesario y proporcionado para conciliar el derecho a la proteccion de los datos personales con la obligacion de secreto. 
Esas normas solo se aplicaran a los datos personales que el responsable o el encargado del tratamiento hayan recibido 
como resultado o con ocasion de una actividad cubierta por la citada obligacion de secreto. 

2. Cada Estado miembro notificara a la Comision las normas adoptadas de conformidad con el apartado 1 a mas 
tardar el 25 de mayo de 2018 y, sin dilation, cualquier modification posterior de las mismas. 


Articulo 91 

Normas vigentes sobre protection de datos de las iglesias y asociaciones religiosas 

1. Cuando en un Estado miembro iglesias, asociaciones o comunidades religiosas apliquen, en el momento de la 
entrada en vigor del presente Reglamento, un conjunto de normas relativas a la proteccion de las personas fisicas en lo 
que respecta al tratamiento, tales normas podran seguir aplicandose, siempre que sean conformes con el presente 
Reglamento. 

2. Las iglesias y las asociaciones religiosas que apliquen normas generales de conformidad con el apartado 1 del 
presente articulo estaran sujetas al control de una autoridad de control independiente, que podra ser especifica, siempre 
que cumpla las condiciones establecidas en el capitulo VI del presente Reglamento. 


CAPlTULO X 

Actos delegados y actos de execution 

Articulo 92 

Ejercicio de la delegation 

1. Los poderes para adoptar actos delegados otorgados a la Comision estaran sujetos a las condiciones establecidas en 
el presente articulo. 
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2. La delegacion de poderes indicada en el articulo 12, apartado 8, y en el articulo 43, apartado 8, se otorgaran a la 
Comision por tiempo indefinido a partir del 24 de mayo de 2016. 

3. La delegacion de poderes mencionada en el articulo 12, apartado 8, y el articulo 43, apartado 8, podra ser 
revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decision de revocacion pondra termino 
a la delegacion de los poderes que en ella se especifiquen. La decision surtira efecto al dia siguiente de su publication en 
el Diario Oficial de la Union Europea o en una fecha posterior indicada en la misma. No afectara a la validez de los actos 
delegados que ya esten en vigor. 


4. Tan pronto como la Comision adopte un acto delegado lo notificara simultaneamente al Parlamento Europeo y al 
Consejo. 

5. Los actos delegados adoptados en virtud del articulo 12, apartado 8, y el articulo 43, apartado 8, entraran en vigor 
unicamente si, en un plazo de tres meses desde su notification al Parlamento Europeo y al Consejo, ni el Parlamento 
Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro 
informan a la Comision de que no las formularan. El plazo se ampliara en tres meses a iniciativa del Parlamento 
Europeo o del Consejo. 


Articulo 93 


Procedimiento de comite 


1. La Comision estara asistida por un comite. Dicho comite sera un comite en el sentido del Reglamento (UE) 
n.° 182/2011. 

2. Cuando se haga referencia al presente apartado, se aplicara el articulo 5 del Reglamento (UE) n.° 182/2011. 

3. Cuando se haga referencia al presente apartado, se aplicara el articulo 8 del Reglamento (UE) n.° 182/2011, en 
relacion con su articulo 5. 


CAPITULO XI 

Disposiciones finales 


Articulo 94 


Derogation de la Directiva 95/46/CE 


1. Queda derogada la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018. 

2. Toda referencia a la Directiva derogada se entendera hecha al presente Reglamento. Toda referencia al Grupo de 
proteccion de las personas en lo que respecta al tratamiento de datos personales establecido por el articulo 29 de la 
Directiva 95/46/CE se entendera hecha al Comite Europeo de Proteccion de Datos establecido por el presente 
Reglamento. 


Articulo 95 


Relacion con la Directiva 2002/58/CE 


El presente Reglamento no impondra obligaciones adicionales a las personas fisicas o juridicas en materia de tratamiento 
en el marco de la prestacion de servicios publicos de comunicaciones electronicas en redes publicas de comunicacion de 
la Union en ambitos en los que esten sujetas a obligaciones especificas con el mismo objetivo establecidas en la 
Directiva 2002/58/CE. 
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Articulo 96 


Relacion con acuerdos celebrados anteriormente 


Los acuerdos internacionales que impliquen la transferencia de datos personales a terceros pai'ses u organizaciones 
internacionales que hubieren sido celebrados por los Estados miembros antes del 24 de mayo de 2016 y que cumplan lo 
dispuesto en el Derecho de la Union aplicable antes de dicha fecha, seguiran en vigor hasta que sean modificados, 
sustituidos o revocados. 


Articulo 97 


Informes de la Comision 


1. A mas tardar el 25 de mayo de 2020 y posteriormente cada cuatro anos, la Comision presentara al Parlamento 
Europeo y al Consejo un informe sobre la evaluation y revision del presente Reglamento. Los informes se haran 
publicos. 

2. En el marco de las evaluaciones y revisiones a que se refiere el apartado 1, la Comision examinara en particular la 
aplicacion y el funcionamiento de: 

a) el capitulo V sobre la transferencia de datos personales a pai'ses terceros u organizaciones internacionales, particu- 
larmente respecto de las decisiones adoptadas en virtud del articulo 45, apartado 3, del presente Reglamento, y de las 
adoptadas sobre la base del articulo 25, apartado 6, de la Directiva 95/46/CE; 

b) el capitulo VII sobre cooperation y coherencia. 

3. A los efectos del apartado 1, la Comision podra solicitar information a los Estados miembros y a las autoridades 
de control. 


4. Al llevar a cabo las evaluaciones y revisiones indicadas en los apartados 1 y 2, la Comision tendra en cuenta las 
posiciones y conclusiones del Parlamento Europeo, el Consejo y los demas organos o fuentes pertinentes. 

5. La Comision presentara, en caso necesario, las propuestas oportunas para modificar el presente Reglamento, en 
particular teniendo en cuenta la evolution de las tecnologias de la information y a la vista de los progresos en la 
sociedad de la information. 


Articulo 98 


Revision de otros actos juridicos de la Union en materia de protection de datos 


La Comision presentara, si procede, propuestas legislativas para modificar otros actos juridicos de la Union en materia 
de protection de datos personales, a fin de garantizar la protection uniforme y coherente de las personas fisicas en 
relacion con el tratamiento. Se tratara en particular de las normas relativas a la protection de las personas fisicas en lo 
que respecta al tratamiento por parte de las instituciones, organos, y organismos de la Union y a la libre circulation de 
tales datos. 


Articulo 99 


Entrada en vigor y aplicacion 


1. El presente Reglamento entrara en vigor a los veinte dias de su publication en el Diario Oficial de la Union Europea. 

2. Sera aplicable a partir del 25 de mayo de 2018. 
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El presente Reglamento sera obligatorio en todos sus elementos y directamente aplicable en 
cada Estado miembro. 

Hecho en Bruselas, el 27 de abril de 2016. 


For el Parlamento Europeo For el Consejo 

El Presidente La Presidenta 

M. SCHULZ J.A. HENNIS-PLASSCHAERT 



